適用于身分識別的 Defender 實體標籤Microsoft Defender 全面偵測回應

  • 文章

本文說明如何針對敏感性、Exchange 伺服器或 honeytoken 帳戶套用適用於身分識別的 Microsoft Defender實體標籤。

  • 您必須針對依賴實體敏感度狀態的 Defender 偵測標記敏感性帳戶,例如敏感性群組修改偵測和橫向移動路徑。

    雖然適用于身分識別的 Defender 會自動將 Exchange 伺服器標記為高價值、敏感性資產,但您也可以手動將裝置標記為 Exchange Server。

  • 標記 honeytoken 帳戶以設定惡意動作專案的陷阱。 由於 honeytoken 帳戶通常處於休眠狀態,因此任何與 honeytoken 帳戶相關聯的驗證都會觸發警示。

必要條件

若要在 Microsoft Defender 全面偵測回應 中設定適用于身分識別的 Defender 實體標籤,您必須在環境中 部署適用于身 分識別的 Defender,以及系統管理員或使用者存取Microsoft Defender 全面偵測回應。

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender角色群組

手動標記實體

本節說明如何手動標記實體,例如 Honeytoken 帳戶,或您的實體尚未自動標記為 敏感性

  1. 登入 Microsoft Defender 全面偵測回應 ,然後選取 [設定 > ][識別碼]。

  2. 選取您要套用的標籤類型: 敏感性 Honeytoken Exchange 伺服器

    頁面會列出系統中已標記的實體,並列在每個實體類型的個別索引標籤上:

    • 敏感性 標籤支援使用者、裝置和群組。
    • Honeytoken 標籤支援使用者和裝置。
    • Exchange Server 標籤僅支援裝置。

  3. 若要標記其他實體,請選取 [標記 ...] 按鈕,例如 標籤使用者 。 窗格隨即在右側列出可供您標記的可用實體。

  4. 如果您需要,請使用搜尋方塊來尋找您的實體。 選取您要標記的實體,然後選取 [ 新增選取專案 ]。

例如:

Screenshot of tagging user accounts as sensitive.

預設敏感性實體

下列清單中的群組會 被視為適用于身分識別的 Defender 敏感性 。 屬於其中一個 Active Directory 群組成員的任何實體,包括巢狀群組及其成員,都會自動視為敏感性:

  • 系統管理員

  • 進階使用者

  • Account Operators

  • Server Operators

  • Print Operators

  • Backup Operators

  • 複寫者

  • Network Configuration Operators

  • 傳入樹系信任產生器

  • 網域管理員

  • 網域控制站

  • 群組原則建立者擁有者

  • 唯讀網域控制站

  • 企業唯讀網域控制站

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange Server

    注意

    在 2018 年 9 月之前,適用于身分識別的 Defender 也會自動將遠端桌面使用者視為敏感性。 在此日期之後新增的遠端桌面實體或群組不會再自動標示為敏感,而在此日期之前新增的遠端桌面實體或群組可能仍標示為 [敏感性]。 此敏感性設定現在可以手動變更。

除了這些群組之外,適用于身分識別的 Defender 會識別下列高價值資產伺服器,並自動將它們標記為 敏感性

  • 憑證授權單位單位伺服器
  • DHCP 伺服器
  • DNS 伺服器
  • Microsoft Exchange Server

相關內容

如需詳細資訊,請參閱 調查適用于身分識別 的 Defender 安全性警示Microsoft Defender 全面偵測回應。