Microsoft Defender XDRの Defender for Identity エンティティタグ

この記事では、機密性の高い、Exchange サーバー、または honeytoken アカウントMicrosoft Defender for Identityエンティティタグを適用する方法について説明します。

機密性の高いグループの変更検出や横移動パスなど、エンティティの秘密度の状態に依存する Defender for Identity 検出の機密性の高いアカウントにタグを付けなければなりません。

Defender for Identity では、Exchange サーバーに価値の高い機密性の高い資産として自動的にタグが付けられますが、デバイスを Exchange サーバーとして手動でタグ付けすることもできます。
honeytoken アカウントにタグを付けて、悪意のあるアクターのトラップを設定します。 honeytoken アカウントは通常休止状態であるため、honeytoken アカウントに関連付けられている認証によってアラートがトリガーされます。

前提条件

Microsoft Defender XDRで Defender for Identity エンティティタグを設定するには、環境に展開された Defender for Identity と、Microsoft Defender XDRへの管理者またはユーザーアクセスが必要です。

詳細については、「Microsoft Defender for Identity役割グループ」を参照してください。

このセクションでは、honeytoken アカウントの場合や、エンティティが自動的に [機密] としてタグ付けされていない場合など、エンティティに手動でタグを付ける方法について説明します。

Microsoft Defender XDRにサインインし、[設定>Identities] を選択します。
適用するタグの種類 ( 機密、 Honeytoken、 または Exchange サーバー) を選択します。

このページには、システムで既にタグ付けされているエンティティが一覧表示され、エンティティの種類ごとに個別のタブに一覧表示されます。
- 機密タグは、ユーザー、デバイス、およびグループをサポートします。
- Honeytoken タグは、ユーザーとデバイスをサポートします。
- Exchange サーバー タグはデバイスのみをサポートします。
追加のエンティティにタグを付ける場合は、[ ユーザーのタグ付け] などの [タグ ... ] ボタンを選択 します。右側のウィンドウが開き、タグ付けできるエンティティが一覧表示されます。
必要に応じて、検索ボックスを使用してエンティティを検索します。タグ付けするエンティティを選択し、[ 選択範囲の追加] を選択します。

以下に例を示します。

次の一覧のグループは、Defender for Identity によって機密と見なされます。入れ子になったグループとそのメンバーを含む、これらの Active Directory グループの 1 つのメンバーであるエンティティは、自動的に機密性が高いと見なされます。

管理者
Power Users
アカウントオペレーター
サーバー演算子
印刷演算子
Backup Operators
レプリケーター
ネットワーク構成オペレーター
受信フォレスト信頼ビルダー
Domain Admins
ドメインコントローラー
グループポリシー作成者の所有者
読み取り専用ドメインコントローラー
エンタープライズ読み取り専用ドメインコントローラー
Schema Admins
エンタープライズの管理者
Microsoft Exchange サーバー

注:

2018 年 9 月まで、リモートデスクトップユーザーは Defender for Identity によって自動的に機密性が高いと見なされていました。この日付より後に追加されたリモートデスクトップエンティティまたはグループは機密として自動的にマークされなくなりましたが、この日付より前に追加されたリモートデスクトップエンティティまたはグループは機密としてマークされたままになることがあります。この機密設定を手動で変更できるようになりました。

これらのグループに加えて、Defender for Identity は次の価値の高い資産サーバーを識別し、それらを機密として自動的にタグ付けします。