Marcas de entidade do Defender for Identity no Microsoft Defender XDR

  • Artigo

Este artigo descreve como aplicar marcas de entidade do Microsoft Defender for Identity para contas confidenciais, de servidor Exchange ou honeytoken.

  • Você deve marcar contas confidenciais para deteções do Defender for Identity que dependem do status de confidencialidade de uma entidade, como deteções de modificação de grupo confidencial e caminhos de movimento lateral.

    Embora o Defender for Identity marque automaticamente os servidores Exchange como ativos confidenciais de alto valor, você também pode marcar manualmente os dispositivos como servidores Exchange.

  • Marque contas honeytoken para definir armadilhas para atores mal-intencionados. Como as contas honeytoken geralmente estão inativas, qualquer autenticação associada a uma conta honeytoken dispara um alerta.

Pré-requisitos

Para definir marcas de entidade do Defender for Identity no Microsoft Defender XDR, você precisará do Defender for Identity implantado em seu ambiente e do acesso de administrador ou usuário ao Microsoft Defender XDR.

Para obter mais informações, consulte Microsoft Defender for Identity role groups.

Marcar entidades manualmente

Esta seção descreve como marcar uma entidade manualmente, como para uma conta honeytoken, ou se sua entidade não tiver sido marcada automaticamente como Confidencial.

  1. Entre no Microsoft Defender XDR e selecione Configurações>de identidades.

  2. Selecione o tipo de tag que deseja aplicar: Sensitive, Honeytoken ou Exchange server.

    A página lista as entidades já marcadas no seu sistema, listadas em separadores separados para cada tipo de entidade:

    • A tag Sensitive suporta usuários, dispositivos e grupos.
    • A tag Honeytoken suporta usuários e dispositivos.
    • A marca do servidor Exchange oferece suporte apenas a dispositivos.

  3. Para marcar entidades adicionais, selecione o botão Marcar ... , como Marcar usuários. Um painel é aberto à direita listando as entidades disponíveis para você marcar.

  4. Use a caixa de pesquisa para encontrar sua entidade, se necessário. Selecione as entidades que deseja marcar e, em seguida, selecione Adicionar seleção.

Por exemplo:

Screenshot of tagging user accounts as sensitive.

Entidades sensíveis padrão

Os grupos na lista a seguir são considerados Sensíveis pelo Defender for Identity. Qualquer entidade que seja membro de um desses grupos do Ative Directory, incluindo grupos aninhados e seus membros, é automaticamente considerada confidencial:

  • Administradores

  • Utilizadores Avançados

  • Operadores de Conta

  • Operadores de Servidor

  • Operadores de Impressão

  • Operadores de Cópia de Segurança

  • Replicadores

  • Operadores de Configuração de Rede

  • Construtores de confiança florestal de entrada

  • Administradores do Domínio

  • Controladores de domínio

  • Proprietários de criadores de políticas de grupo

  • Controlador de Domínio Só de Leitura

  • Controladores de domínio somente leitura corporativos

  • Administradores de Esquema

  • Administradores da Empresa

  • Servidores Microsoft Exchange

    Nota

    Até setembro de 2018, os usuários da Área de Trabalho Remota também eram automaticamente considerados sensíveis pelo Defender for Identity. As entidades ou grupos de Ambiente de Trabalho Remoto adicionados após esta data deixam de ser automaticamente marcados como confidenciais, enquanto as entidades ou grupos de Ambiente de Trabalho Remoto adicionados antes desta data podem permanecer marcados como Sensíveis. Esta configuração Sensível agora pode ser alterada manualmente.

Além desses grupos, o Defender for Identity identifica os seguintes servidores de ativos de alto valor e os marca automaticamente como Confidenciais:

  • Servidor da Autoridade de Certificação
  • Servidor DHCP
  • Servidor DNS
  • Microsoft Exchange Server

Conteúdos relacionados

Para obter mais informações, consulte Investigar alertas de segurança do Defender for Identity no Microsoft Defender XDR.