Microsoft Defender XDR 中的 Defender for Identity 实体标记
本文介绍如何为敏感帐户、Exchange 服务器或蜜标帐户应用Microsoft Defender for Identity实体标记。
必须标记依赖于实体敏感状态的 Defender for Identity 检测的敏感帐户,例如敏感组修改检测和横向移动路径。
虽然 Defender for Identity 会自动将 Exchange 服务器标记为高价值敏感资产,但你也可以手动将设备标记为 Exchange 服务器。
标记蜜标帐户,为恶意参与者设置陷阱。 由于 honeytoken 帐户通常处于休眠状态,与蜜标帐户关联的任何身份验证都会触发警报。
先决条件
若要在 Microsoft Defender XDR 中设置 Defender for Identity 实体标记,需要在环境中部署 Defender for Identity,以及管理员或用户对Microsoft Defender XDR的访问权限。
有关详细信息,请参阅Microsoft Defender for Identity角色组。
手动标记实体
本部分介绍如何手动标记实体,例如为蜜标帐户,或者实体是否未自动标记为 敏感。
登录到Microsoft Defender XDR并选择“设置>标识”。
选择要应用的标记类型: 敏感、 Honeytoken 或 Exchange 服务器。
该页列出了系统中已标记的实体,每个实体类型的单独选项卡上列出:
- 敏感标记支持用户、设备和组。
- Honeytoken 标记支持用户和设备。
- Exchange 服务器标记仅支持设备。
若要标记其他实体,请选择“ 标记...” 按钮,例如 “标记用户”。 右侧将打开一个窗格,其中列出了可供标记的可用实体。
如果需要,请使用搜索框查找实体。 选择要标记的实体,然后选择“ 添加所选内容”。
例如:
默认敏感实体
以下列表中的组被 Defender for Identity 视为 敏感 组。 属于其中一个 Active Directory 组(包括嵌套组及其成员)的任何实体都将自动被视为敏感:
管理员
Power Users
帐户操作员
服务器操作员
打印运算符
Backup Operators
复制器
网络配置操作员
传入林信任生成器
Domain Admins
域控制器
组策略创意者所有者
只读域控制器
企业只读域控制器
Schema Admins
Enterprise Admins
Microsoft Exchange Server
注意
在 2018 年 9 月之前,Defender for Identity 还自动将远程桌面用户视为敏感用户。 在此日期之后添加的远程桌面实体或组不再自动标记为敏感,而在此日期之前添加的远程桌面实体或组可能仍标记为敏感。 现在可以手动更改此敏感设置。
除了这些组,Defender for Identity 还会识别以下高价值资产服务器,并自动将其标记为 “敏感”:
- 证书颁发机构服务器
- DHCP 服务器
- DNS 服务器
- Microsoft Exchange Server
相关内容
有关详细信息,请参阅调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报。