Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve como aplicar Microsoft Defender para Identidade etiquetas de entidade para contas confidenciais, do Exchange Server ou honeytoken.
Tem de etiquetar contas confidenciais para deteções do Defender para Identidade que dependem do estado de confidencialidade de uma entidade, por exemplo, deteções de modificação de grupos confidenciais.
Enquanto o Defender para Identidade identifica automaticamente os servidores do Exchange como ativos confidenciais de valor elevado, também pode etiquetar manualmente os dispositivos como servidores do Exchange.
Marque contas honeytoken para definir armadilhas para atores maliciosos. Uma vez que as contas honeytoken estão normalmente inativas, qualquer autenticação associada a uma conta honeytoken aciona um alerta.
Pré-requisitos
Para definir etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR, precisará do Defender para Identidade implementado no seu ambiente e de acesso de administrador ou utilizador a Microsoft Defender XDR.
Para obter mais informações, veja Microsoft Defender para Identidade grupos de funções.
Etiquetar entidades manualmente
Esta secção descreve como etiquetar uma entidade manualmente, como para uma conta honeytoken, ou se a sua entidade não tiver sido automaticamente etiquetada como Confidencial.
Inicie sessão no Microsoft Defender XDR e selecione Definições Identidades>.
Selecione o tipo de etiqueta que pretende aplicar: Sensível, Honeytoken ou Servidor Exchange.
A página lista as entidades já etiquetadas no seu sistema, listadas em separadores separados para cada tipo de entidade:
- A etiqueta Confidencial suporta utilizadores, dispositivos e grupos.
- A etiqueta Honeytoken suporta utilizadores e dispositivos.
- A etiqueta de servidor do Exchange suporta apenas dispositivos.
Para etiquetar entidades adicionais, selecione o botão Etiquetar ... como Utilizadores de etiquetas. É aberto um painel à direita a listar as entidades disponíveis para etiquetar.
Utilize a caixa de pesquisa para localizar a sua entidade, se necessário. Selecione as entidades que pretende etiquetar e, em seguida, selecione Adicionar seleção.
Por exemplo:
Entidades confidenciais predefinidas
Os grupos na lista seguinte são considerados Confidenciais pelo Defender para Identidade. Qualquer entidade que seja membro de um destes grupos do Active Directory, incluindo grupos aninhados e respetivos membros, é automaticamente considerada confidencial:
Administradores
Utilizadores Ativos
Operadores de Conta
Operadores de Servidor
Operadores de Impressão
Operadores de Cópia de Segurança
Replicadores
Operadores de Configuração de Rede
Construtores de Fidedignidade de Floresta de Entrada
Administradores de Domínio
Controladores de Domínio
Proprietários do Política de Grupo Creator
Controladores de Domínio Só de Leitura
Controladores de Domínio Só de Leitura empresariais
Administradores de Esquema
Administradores empresariais
Microsoft Exchange Servers
Nota
Até setembro de 2018, os Utilizadores do Ambiente de Trabalho Remoto também eram automaticamente considerados confidenciais pelo Defender para Identidade. As entidades ou grupos de Ambiente de Trabalho Remoto adicionados após esta data já não são marcados automaticamente como confidenciais, enquanto as entidades ou grupos de Ambiente de Trabalho Remoto adicionados antes desta data podem permanecer marcados como Confidenciais. Esta definição Confidencial pode agora ser alterada manualmente.
Além destes grupos, o Defender para Identidade identifica os seguintes servidores de ativos de valor elevado e identifica-os automaticamente como Confidenciais:
- Servidor de Autoridade de Certificação
- Servidor DHCP
- Servidor DNS
- Microsoft Exchange Server
- Replicar Permissões de Alterações de Diretório
Integrações do Defender para Identidade
As seguintes funções são designadas como Confidenciais por Microsoft Defender para Identidade. Qualquer associação atribuída a qualquer entidade nestas funções é automaticamente classificada como confidencial.
Okta
- SuperAdministrador
- Administrador de Aplicações
- Administrador de Grupo
- Administrador de Gestão de Acesso à API
- Administrador de Associação a Grupos
- Administrador do Suporte Técnico
- Administrador Móvel
- Administrador da Organização
- Administrador Só de Leitura
- Administrador de Relatórios
CyberArk
- Função de Administração
- Administração de Inclusão na Cloud
- Administração de Gestão de Conectores
- Fluxos Administração
- Administradores do Privilege Cloud
- Privilege Cloud Administrators Basic
- Privilege Cloud Administrators Lite
- Privilege Cloud Safe Managers
- Privilege Cloud Safe Managers Basic
- Privilege Cloud Safe Managers Lite
- Privilege Cloud Session Administração
- Privilege Cloud Session Risk Managers
- Administrador de Sistema
SailPoint
Funções de ID de Entra
- Administrador Global
- Administrador de Utilizadores
- Administrador de Autenticação
- Administrador de Autenticação Privilegiada
- Administrador de Suporte Técnico
- Administrador de ID do Agente
- Administrador de Aplicações
- Escritores de Diretório
- Administrador de Nomes de Domínio
- Administrador de Palavras-passe
- Administrador de Funções Com Privilégios
- Administrador de Identidade Híbrida
- Administrador de Aplicações na Cloud
Funções do SailPoint
- Administrador do IdentityNow
Conteúdos relacionados
Para obter mais informações, veja Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR.