Marcas de entidade do Defender para Identidade no Microsoft Defender XDR

Este artigo descreve como aplicar marcas de entidade do Microsoft Defender para Identidade em Exchange Servers confidenciais ou contas honeytoken.

  • Você deve marcar as contas confidenciais para detecções do Defender para Identidade que dependem do status de confidencialidade de uma entidade, como no caso de detecções de modificação em grupo confidencial e caminhos de movimentação lateral.

    Embora o Defender para Identidade marque automaticamente os servidores Exchange como ativos confidenciais de alto valor, você também pode marcar manualmente os dispositivos como servidores Exchange.

  • Marque as contas honeytoken para montar armadilhas para atores mal-intencionados. Como as contas honeytoken geralmente estão inativas, toda autenticação associada a uma conta honeytoken dispara um alerta.

Pré-requisitos

Para definir as marcas de entidade do Defender para Identidade no Microsoft Defender XDR, você precisará do Defender para Identidade implantado em seu ambiente e do acesso de administrador ou usuário ao Microsoft Defender XDR.

Para obter mais informações, consulte Grupos de funções do Microsoft Defender para Identidade.

Marcar entidades manualmente

Esta seção descreve como marcar uma entidade manualmente, como no caso de uma conta honeytoken ou se a entidade não tiver sido marcada automaticamente como Confidencial.

  1. Inicie uma sessão no Microsoft Defender XDR e selecione Configurações>Identidades.

  2. Selecione o tipo de marca que deseja aplicar: Confidencial, Honeytoken ou Servidor Exchange.

    A página lista as entidades já marcadas em seu sistema, listadas em guias separadas para cada tipo de entidade:

    • A marca Confidencial oferece suporte a usuários, dispositivos e grupos.
    • A marca Honeytoken oferece suporte a usuários e dispositivos.
    • A marca Servidor Exchange oferece suporte apenas a dispositivos.
  3. Para marcar entidades adicionais, selecione o botão Marcar ..., como Marcar usuários. Um painel é aberto à direita listando as entidades disponíveis para você marcar.

  4. Use a caixa de pesquisa para localizar sua entidade, se necessário. Selecione as entidades que você deseja marcar e, em seguida, selecione Adicionar seleção.

Por exemplo:

Screenshot of tagging user accounts as sensitive.

Entidades confidenciais padrão

Os grupos na lista a seguir são considerados Confidenciais pelo Defender para Identidade. Uma entidade que seja membro de um desses grupos do Active Directory, incluindo grupos aninhados e seus membros, é automaticamente considerada confidencial:

  • Administradores

  • Usuários Avançados

  • Opers. de contas

  • Operadores de Servidores

  • Operadores de Impressão

  • Operadores de cópia

  • Replicadores

  • Operadores de Configuração de Rede

  • Criadores de confiança de floresta de entrada

  • Administradores do domínio

  • Controladores de Domínio

  • Proprietários criadores de política de grupo

  • Controladores de Domínio somente leitura

  • Controladores de domínio somente leitura da empresa

  • Administradores de esquemas

  • Admins corporativos

  • Microsoft Exchange Servers

    Observação

    Até setembro de 2018, os usuários da Área de Trabalho Remota também eram automaticamente considerados confidenciais pelo Defender para Identidade. As entidades ou grupos da Área de Trabalho Remota adicionados após essa data não são mais marcados automaticamente como confidenciais, enquanto as entidades ou grupos da Área de Trabalho Remota adicionados antes dessa data podem permanecer marcados como Confidenciais. Essa configuração Confidencial agora pode ser alterada manualmente.

Além desses grupos, o Defender para Identidade identifica os seguintes servidores de ativos de alto valor e os marca automaticamente como Confidenciais:

  • Servidor de autoridade de certificação
  • Servidor DHCP
  • Servidor DNS
  • Microsoft Exchange Server

Para obter mais informações, confira Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR.