Microsoft Defender XDR の Defender for Identity エンティティタグ

この記事では、高い機密性、Exchange サーバー、またはハニートークンアカウントに Microsoft Defender for Identity エンティティタグを適用する方法について説明します。

機密性のグループの変更の検出やラテラルムーブメントパスなど、エンティティの機密度の状態に依存する Defender for Identity 検出の機密性のアカウントにタグを付けます。

Defender for Identity は Exchange サーバーに高価値の機密性アセットとして自動的にタグ付けしますが、デバイスを Exchange サーバーとして手動でタグ付けすることもできます。
ハニートークンアカウントにタグを付けて、悪意のあるアクターにトラップを設定します。ハニートークンアカウントは通常休眠状態であるため、ハニートークンアカウントに関連付けられている認証はアラートをトリガーします。

前提条件

Microsoft Defender XDR で Defender for Identity エンティティタグを設定するには、環境に Defender for Identity を展開します。Microsoft Defender XDR への管理者またはユーザーアクセス権が必要です。

詳細については、「Microsoft Defender for Identity ロールグループ」を参照してください。

このセクションでは、ハニートークンアカウントの場合や、エンティティが自動的に機密としてタグ付けされていない場合など、エンティティに手動でタグを付ける方法について説明します。

Microsoft Defender XDR にサインインし、[設定]>[ID] を選択します。
適用するタグの種類を選択します: 機密、ハニートークン、Exchangeサーバー。

このページには、システムで既にタグ付けされているエンティティが一覧表示され、エンティティの種類ごとに個別のタブに一覧表示されます。
- 機密タグは、ユーザー、デバイス、およびグループをサポートしています。
- ハニートークン タグは、ユーザーとデバイスをサポートしています。
- Exchange サーバー タグはデバイスのみをサポートしています。
追加のエンティティにタグを付ける場合は、ユーザーのタグ付けなどの [...のタグ付け] ボタンを選択します。タグ付けできるエンティティが一覧表示されたウィンドウが右側に開きます。
必要に応じて、検索ボックスを使用してエンティティを検索します。タグ付けするエンティティを選択し、[選択範囲の追加] を選択します。

次に例を示します。

次の一覧のグループは、Defender for Identity によって機密と見なされます。これらの Active Directory グループの 1 つのメンバーであるエンティティはネストしたグループとそのメンバーを含み、自動的に機密性が高いと見なされます。

管理者
パワーユーザー
Account Operators
Server Operators
演算子を印刷します。
Backup Operators
Replicators
Network Configuration Operators
Incoming Forest Trust Builders
Domain Admins
ドメインコントローラー
Group Policy Creator Owners
Read-only Domain Controllers
Enterprise Read-only Domain Controllers
Schema Admins
Enterprise Admins
Microsoft Exchange サーバー

Note

2018 年 9 月までは、リモートデスクトップユーザーも Defender for Identity によって自動的に機密性が高いと見なされていました。この日付より後に追加されたリモートデスクトップエンティティまたはグループは自動的に機密としてマークされなくなりましたが、この日付以前に追加されたリモートデスクトップエンティティまたはグループは機密としてマークされていることがあります。この機密性の設定を手動で変更できるようになりました。

これらのグループに加えて、Defender for Identity は次の価値の高いアセットサーバーを識別し、自動的に機密としてタグ付けします。