Поделиться через

Теги сущности Defender для удостоверений в XDR в Microsoft Defender

  • Статья

В этой статье описывается применение тегов сущностей Microsoft Defender для удостоверений для конфиденциальных учетных записей Exchange Server или honeytoken.

  • Необходимо пометить конфиденциальные учетные записи для обнаружения удостоверений Defender для удостоверений, которые зависят от состояния конфиденциальности сущности, например обнаружения изменений конфиденциальной группы и путей бокового перемещения.

    Хотя Defender для удостоверений автоматически теги серверов Exchange в качестве высокоценных конфиденциальных ресурсов также можно вручную пометить устройства как серверы Exchange.

  • Пометьте учетные записи honeytoken, чтобы задать ловушки для вредоносных субъектов. Так как учетные записи honeytoken обычно неактивны, любая проверка подлинности, связанная с учетной записью honeytoken, активирует оповещение.

Необходимые компоненты

Чтобы задать теги сущности Defender для удостоверений в XDR в Microsoft Defender, вам потребуется Защитник для идентификации , развернутый в вашей среде, а также администратор или пользователь, доступ к XDR в Microsoft Defender.

Дополнительные сведения см. в разделе Microsoft Defender для удостоверений группы ролей.

Тег сущностей вручную

В этом разделе описывается, как вручную пометить сущность, например для учетной записи honeytoken, или если сущность не была автоматически помечена как конфиденциальная.

  1. Войдите в Microsoft Defender XDR и выберите Параметры> Identities.

  2. Выберите тип тега, который нужно применить: Конфиденциальный, Honeytoken или сервер Exchange Server.

    На странице перечислены сущности, уже помеченные в системе, перечисленные на отдельных вкладках для каждого типа сущности:

    • Тег "Конфиденциальный" поддерживает пользователей, устройств и групп.
    • Тег Honeytoken поддерживает пользователей и устройства.
    • Тег сервера Exchange поддерживает только устройства.

  3. Чтобы пометить дополнительные сущности, нажмите кнопку Тег ... ( Например , пользователи тегов). Откроется область справа от списка доступных сущностей для тега.

  4. Используйте поле поиска, чтобы найти сущность, если это необходимо. Выберите сущности, которые нужно пометить, и нажмите кнопку "Добавить выбор".

Например:

Screenshot of tagging user accounts as sensitive.

Конфиденциальные сущности по умолчанию

Группы в следующем списке считаются конфиденциальными от Defender для удостоверений. Любая сущность, являющаяся членом одной из этих групп Active Directory, включая вложенные группы и их члены, автоматически считается конфиденциальной:

  • Администраторы

  • Опытные пользователи

  • Операторы учета

  • Операторы сервера

  • Операторы печати

  • Операторы архива

  • Replicators

  • Операторы настройки сети

  • Построитель доверия входящего леса

  • Администраторы домена

  • Контроллеры доменов

  • Владельцы-создатели групповой политики

  • Контроллеры домена только для чтения

  • Контроллеры домена только для чтения предприятия

  • Администраторы схемы

  • Администраторы предприятия

  • Серверы Microsoft Exchange Server

    Примечание.

    До сентября 2018 года пользователи удаленных рабочих столов также автоматически считались конфиденциальными в Defender для удостоверений. Сущности или группы удаленных рабочих столов, добавленные после этой даты, больше не помечаются как конфиденциальные, а сущности или группы удаленных рабочих столов, добавленные до этой даты, могут оставаться помеченными как конфиденциальные. Теперь этот параметр конфиденциальности можно изменить вручную.

В дополнение к этим группам Defender для удостоверений определяет следующие серверы ресурсов с высоким уровнем ценности и автоматически тегирует их как конфиденциальные:

  • Сервер центра сертификации
  • DHCP-сервер
  • DNS-сервер
  • Microsoft Exchange Server

Связанный контент

Дополнительные сведения см. в статье "Исследование оповещений defender для безопасности удостоверений" в XDR в Microsoft Defender.