Megosztás a következőn keresztül:

A Defender for Identity entitáscímkéi a Microsoft Defender XDR

  • Cikk

Ez a cikk azt ismerteti, hogyan alkalmazhat Microsoft Defender for Identity entitáscímkéket bizalmas, Exchange Server- vagy honeytoken-fiókokra.

  • Fel kell címkéznie a Defender for Identity bizalmassági állapotára támaszkodó bizalmas fiókokat, például a bizalmas csoportmódosítások észlelését és az oldalirányú mozgási útvonalakat.

    Bár a Defender for Identity automatikusan magas értékű, bizalmas adategységként címkézi meg az Exchange-kiszolgálókat, manuálisan exchange-kiszolgálóként is címkézheti az eszközöket.

  • A honeytoken-fiókok címkézése a rosszindulatú szereplők trapjeinek beállításához. Mivel a honeytoken-fiókok általában alvó állapotban vannak, a honeytoken-fiókhoz társított hitelesítés riasztást aktivál.

Előfeltételek

A Defender for Identity entitáscímkéinek Microsoft Defender XDR való beállításához telepítenie kell a környezetében a Defender for Identityt, valamint rendszergazdai vagy felhasználói hozzáférést kell adnia a Microsoft Defender XDR.

További információ: Microsoft Defender for Identity szerepkörcsoportok.

Entitások manuális címkézése

Ez a szakasz bemutatja, hogyan címkézhet meg manuálisan egy entitást, például egy honeytoken-fiókhoz, vagy ha az entitás nem lett automatikusan Bizalmas címkével megjelölve.

  1. Jelentkezzen be Microsoft Defender XDR, és válassza a Beállítások>Identitások lehetőséget.

  2. Válassza ki az alkalmazni kívánt címke típusát: Bizalmas, Honeytoken vagy Exchange-kiszolgáló.

    Az oldal felsorolja a rendszerben már címkézett entitásokat, amelyek külön lapon jelennek meg az egyes entitástípusokhoz:

    • A Bizalmas címke felhasználókat, eszközöket és csoportokat támogat.
    • A Honeytoken címke támogatja a felhasználókat és az eszközöket.
    • Az Exchange-kiszolgálócímke csak az eszközöket támogatja.

  3. További entitások címkézéséhez válassza a Címke ... gombot, például a Felhasználók címkézése lehetőséget. Megnyílik egy panel a jobb oldalon, amelyen a címkézhető entitások láthatók.

  4. Ha szükséges, a keresőmező használatával keresse meg az entitást. Jelölje ki a címkézni kívánt entitásokat, majd válassza a Kijelölés hozzáadása lehetőséget.

Például:

Képernyőkép a felhasználói fiókok bizalmasként való címkézéséről.

Alapértelmezett bizalmas entitások

Az alábbi listában szereplő csoportokat a Defender for Identity bizalmasnak tekinti. Minden entitás, amely ezen Active Directory-csoportok egyikének tagja, beleértve a beágyazott csoportokat és azok tagjait, automatikusan bizalmasnak minősül:

  • Rendszergazdák

  • Power Users

  • Fiókoperátorok

  • Kiszolgálói operátorok

  • Nyomtatási operátorok

  • Biztonsági mentési operátorok

  • Replikátorok

  • Hálózati konfigurációs operátorok

  • Bejövő erdőmegbízhatósági szerkesztők

  • Tartományi rendszergazdák

  • Tartományvezérlők

  • Csoportházirend alkotói tulajdonosok

  • Írásvédett tartományvezérlők

  • Vállalati írásvédett tartományvezérlők

  • Sémagazdák

  • Vállalati rendszergazdák

  • Microsoft Exchange-kiszolgálók

    Megjegyzés:

    2018 szeptemberéig a Defender for Identity automatikusan bizalmasnak tekintette a távoli asztali felhasználókat is. A dátum után hozzáadott távoli asztali entitások vagy csoportok többé nem lesznek automatikusan bizalmasként megjelölve, míg az e dátum előtt hozzáadott távoli asztali entitások vagy csoportok bizalmasként maradhatnak megjelölve. Ez a bizalmas beállítás mostantól manuálisan módosítható.

Ezeken a csoportokon kívül a Defender for Identity azonosítja a következő nagy értékű objektumkiszolgálót, és automatikusan bizalmasként jelöli meg őket:

  • Hitelesítésszolgáltató kiszolgálója
  • DHCP-kiszolgáló
  • DNS-kiszolgáló
  • Microsoft Exchange Server

Kapcsolódó tartalom

További információ: A Defender for Identity biztonsági riasztásainak vizsgálata Microsoft Defender XDR.