Microsoft Defender XDR 中的 Defender for Identity 实体标记

本文介绍如何为敏感帐户、Exchange 服务器或蜜标帐户应用Microsoft Defender for Identity实体标记。

  • 对于依赖于实体的敏感状态(例如敏感组修改检测),必须标记 Defender for Identity 检测的敏感帐户。

    虽然 Defender for Identity 会自动将 Exchange 服务器标记为高价值敏感资产,但你也可以手动将设备标记为 Exchange 服务器。

  • 标记蜜标帐户,为恶意参与者设置陷阱。 由于 honeytoken 帐户通常处于休眠状态,与蜜标帐户关联的任何身份验证都会触发警报。

先决条件

若要在 Microsoft Defender XDR 中设置 Defender for Identity 实体标记,需要在环境中部署 Defender for Identity,以及管理员或用户对Microsoft Defender XDR的访问权限。

有关详细信息,请参阅Microsoft Defender for Identity角色组

手动标记实体

本部分介绍如何手动标记实体,例如为蜜标帐户,或者实体是否未自动标记为 敏感

  1. 登录到Microsoft Defender XDR并选择“设置>标识”。

  2. 选择要应用的标记类型: 敏感HoneytokenExchange 服务器

    该页列出了系统中已标记的实体,每个实体类型的单独选项卡上列出:

    • 敏感标记支持用户、设备和组。
    • Honeytoken 标记支持用户和设备。
    • Exchange 服务器标记仅支持设备。

  3. 若要标记其他实体,请选择“ 标记...” 按钮,例如 “标记用户”。 右侧将打开一个窗格,其中列出了可供标记的可用实体。

  4. 如果需要,请使用搜索框查找实体。 选择要标记的实体,然后选择“ 添加所选内容”。

    例如:

    将用户帐户标记为敏感帐户的屏幕截图。

默认敏感实体

以下列表中的组被 Defender for Identity 视为 敏感 组。 属于其中一个 Active Directory 组(包括嵌套组及其成员)的任何实体都将自动被视为敏感:

  • 管理员

  • Power Users

  • 帐户操作员

  • 服务器操作员

  • 打印运算符

  • Backup Operators

  • 复制

  • 网络配置操作员

  • 传入林信任生成器

  • Domain Admins

  • 域控制器

  • 组策略创意者所有者

  • 只读域控制器

  • 企业只读域控制器

  • Schema Admins

  • Enterprise Admins

  • Microsoft Exchange Server

    注意

    在 2018 年 9 月之前,Defender for Identity 还自动将远程桌面用户视为敏感用户。 在此日期之后添加的远程桌面实体或组不再自动标记为敏感,而在此日期之前添加的远程桌面实体或组可能仍标记为敏感。 现在可以手动更改此敏感设置。

除了这些组,Defender for Identity 还会识别以下高价值资产服务器,并自动将其标记为 “敏感”

  • 证书颁发机构服务器
  • DHCP 服务器
  • DNS 服务器
  • Microsoft Exchange Server
  • 复制目录更改权限

Defender for Identity Integrations

Microsoft Defender for Identity将以下角色指定为“敏感”。 这些角色中分配的任何实体成员身份都将自动分类为敏感。

Okta

  • 超级管理员
  • 应用程序管理员
  • 组管理员
  • API 访问管理管理员
  • 组成员身份管理员
  • 技术支持管理员
  • 移动管理员
  • 组织管理员
  • 只读管理员
  • 报表管理员

CyberArk

  • 管理角色
  • 云载入管理员
  • 连接器管理管理员
  • 流管理员
  • Privilege Cloud 管理员
  • Privilege Cloud Administrators Basic
  • Privilege Cloud Administrators Lite
  • Privilege Cloud Safe Manager
  • Privilege Cloud Safe Manager Basic
  • Privilege Cloud Safe Manager Lite
  • Privilege Cloud 会话管理员
  • Privilege Cloud 会话风险管理器
  • 系统管理员

SailPoint

Entra ID 角色

  • 全局管理员
  • 用户管理员
  • 身份验证管理员
  • 特权身份验证管理员
  • 帮助台管理员
  • 代理 ID 管理员
  • 应用程序管理员
  • 目录作者
  • 域名管理员
  • 密码管理员
  • 特权角色管理员
  • 混合标识管理员
  • 云应用程序管理员

SailPoint 角色

  • IdentityNow 管理员

相关内容

有关详细信息,请参阅调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报

  • Last updated on