Marcas de entidade do Defender para Identidade no Microsoft Defender XDR
Este artigo descreve como aplicar marcas de entidade do Microsoft Defender para Identidade em Exchange Servers confidenciais ou contas honeytoken.
Você deve marcar as contas confidenciais para detecções do Defender para Identidade que dependem do status de confidencialidade de uma entidade, como no caso de detecções de modificação em grupo confidencial e caminhos de movimentação lateral.
Embora o Defender para Identidade marque automaticamente os servidores Exchange como ativos confidenciais de alto valor, você também pode marcar manualmente os dispositivos como servidores Exchange.
Marque as contas honeytoken para montar armadilhas para atores mal-intencionados. Como as contas honeytoken geralmente estão inativas, toda autenticação associada a uma conta honeytoken dispara um alerta.
Pré-requisitos
Para definir as marcas de entidade do Defender para Identidade no Microsoft Defender XDR, você precisará do Defender para Identidade implantado em seu ambiente e do acesso de administrador ou usuário ao Microsoft Defender XDR.
Para obter mais informações, consulte Grupos de funções do Microsoft Defender para Identidade.
Marcar entidades manualmente
Esta seção descreve como marcar uma entidade manualmente, como no caso de uma conta honeytoken ou se a entidade não tiver sido marcada automaticamente como Confidencial.
Inicie uma sessão no Microsoft Defender XDR e selecione Configurações>Identidades.
Selecione o tipo de marca que deseja aplicar: Confidencial, Honeytoken ou Servidor Exchange.
A página lista as entidades já marcadas em seu sistema, listadas em guias separadas para cada tipo de entidade:
- A marca Confidencial oferece suporte a usuários, dispositivos e grupos.
- A marca Honeytoken oferece suporte a usuários e dispositivos.
- A marca Servidor Exchange oferece suporte apenas a dispositivos.
Para marcar entidades adicionais, selecione o botão Marcar ..., como Marcar usuários. Um painel é aberto à direita listando as entidades disponíveis para você marcar.
Use a caixa de pesquisa para localizar sua entidade, se necessário. Selecione as entidades que você deseja marcar e, em seguida, selecione Adicionar seleção.
Por exemplo:
Entidades confidenciais padrão
Os grupos na lista a seguir são considerados Confidenciais pelo Defender para Identidade. Uma entidade que seja membro de um desses grupos do Active Directory, incluindo grupos aninhados e seus membros, é automaticamente considerada confidencial:
Administradores
Usuários Avançados
Opers. de contas
Operadores de Servidores
Operadores de Impressão
Operadores de cópia
Replicadores
Operadores de Configuração de Rede
Criadores de confiança de floresta de entrada
Administradores do domínio
Controladores de Domínio
Proprietários criadores de política de grupo
Controladores de Domínio somente leitura
Controladores de domínio somente leitura da empresa
Administradores de esquemas
Admins corporativos
Microsoft Exchange Servers
Observação
Até setembro de 2018, os usuários da Área de Trabalho Remota também eram automaticamente considerados confidenciais pelo Defender para Identidade. As entidades ou grupos da Área de Trabalho Remota adicionados após essa data não são mais marcados automaticamente como confidenciais, enquanto as entidades ou grupos da Área de Trabalho Remota adicionados antes dessa data podem permanecer marcados como Confidenciais. Essa configuração Confidencial agora pode ser alterada manualmente.
Além desses grupos, o Defender para Identidade identifica os seguintes servidores de ativos de alto valor e os marca automaticamente como Confidenciais:
- Servidor de autoridade de certificação
- Servidor DHCP
- Servidor DNS
- Microsoft Exchange Server
Conteúdo relacionado
Para obter mais informações, confira Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR.