مشاركة عبر


علامات كيان Defender for Identity في Microsoft Defender XDR

توضح هذه المقالة كيفية تطبيق Microsoft Defender for Identity علامات الكيان، للحسابات الحساسة أو خادم Exchange أو الرمز المميز للعسل.

  • يجب وضع علامة على الحسابات الحساسة لاكتشافات Defender for Identity التي تعتمد على حالة حساسية الكيان، مثل اكتشافات تعديل المجموعة الحساسة ومسارات الحركة الجانبية.

    بينما يقوم Defender for Identity تلقائيا بوضع علامة على خوادم Exchange كأصول حساسة وعالية القيمة، يمكنك أيضا وضع علامة يدويا على الأجهزة كخوادم Exchange.

  • وضع علامة على حسابات الرمز المميز للعسل لتعيين التراكبات للمستخدمين الضارين. نظرا لأن حسابات الرمز المميز للعسل عادة ما تكون خاملة، فإن أي مصادقة مقترنة بحساب الرمز المميز للعسل تؤدي إلى تنبيه.

المتطلبات الأساسية

لتعيين علامات كيان Defender for Identity في Microsoft Defender XDR، ستحتاج إلى Defender for Identity المنشور في بيئتك، ووصول المسؤول أو المستخدم إلى Microsoft Defender XDR.

لمزيد من المعلومات، راجع Microsoft Defender for Identity مجموعات الأدوار.

وضع علامة على الكيانات يدويا

يصف هذا القسم كيفية وضع علامة على كيان يدويا، مثل حساب الرمز المميز للعسل، أو إذا لم يتم وضع علامة على الكيان الخاص بك تلقائيا على أنه حساس.

  1. سجل الدخول إلى Microsoft Defender XDR وحدد الإعدادات>الهويات.

  2. حدد نوع العلامة التي تريد تطبيقها: خادم Sensitive أو Honeytoken أو Exchange.

    تسرد الصفحة الكيانات التي تم وضع علامة عليها بالفعل في النظام الخاص بك، المدرجة في علامات تبويب منفصلة لكل نوع كيان:

    • تدعم العلامة الحساسة المستخدمين والأجهزة والمجموعات.
    • تدعم علامة Honeytoken المستخدمين والأجهزة.
    • تدعم علامة خادم Exchange الأجهزة فقط.
  3. لوضع علامة على كيانات إضافية، حدد الزر Tag ... ، مثل Tag users. يفتح جزء على اليمين يسرد الكيانات المتوفرة لوضع علامة عليها.

  4. استخدم مربع البحث للعثور على الكيان الخاص بك إذا كنت بحاجة إلى ذلك. حدد الكيانات التي تريد وضع علامة عليها، ثم حدد إضافة تحديد.

على سبيل المثال:

لقطة شاشة لوضع علامات على حسابات المستخدمين على أنها حساسة.

الكيانات الحساسة الافتراضية

تعتبر المجموعات الموجودة في القائمة التالية حساسة بواسطة Defender for Identity. يعتبر أي كيان عضو في إحدى مجموعات Active Directory هذه، بما في ذلك المجموعات المتداخلة وأعضائها، حساسا تلقائيا:

  • المسؤولين

  • Power Users

  • عوامل تشغيل الحساب

  • عوامل تشغيل الخادم

  • عوامل تشغيل الطباعة

  • عوامل تشغيل النسخ الاحتياطي

  • المتماثلات

  • عوامل تشغيل تكوين الشبكة

  • منشئو ثقة الغابة الواردة

  • مسؤولو المجال

  • وحدات التحكم بالمجال

  • نهج المجموعة مالكو المبدعين

  • وحدات التحكم بالمجال للقراءة فقط

  • وحدات التحكم بالمجال للقراءة فقط على مستوى المؤسسة

  • مسؤولو المخطط

  • مسؤولو المؤسسة

  • خوادم Microsoft Exchange

    ملاحظة

    حتى سبتمبر 2018، كان Defender for Identity يعتبر مستخدمي سطح المكتب البعيد أيضا حساسين تلقائيا. لم تعد كيانات سطح المكتب البعيد أو المجموعات المضافة بعد هذا التاريخ يتم وضع علامة عليها تلقائيا على أنها حساسة بينما قد تظل كيانات سطح المكتب البعيد أو المجموعات المضافة قبل هذا التاريخ مميزة على أنها حساسة. يمكن الآن تغيير هذا الإعداد الحساس يدويا.

بالإضافة إلى هذه المجموعات، يحدد Defender for Identity خوادم الأصول عالية القيمة التالية ويوسمها تلقائيا على أنها حساسة:

  • خادم المرجع المصدق
  • خادم DHCP
  • خادم DNS
  • Microsoft Exchange Server

لمزيد من المعلومات، راجع التحقيق في تنبيهات أمان Defender for Identity في Microsoft Defender XDR.