标记敏感帐户
适用于:高级威胁分析版本 1.9
可以手动将组或帐户标记为敏感,以增强检测。 请务必确保更新,因为某些 ATA 检测(如敏感组修改检测和横向移动路径)依赖于哪些组和帐户被视为敏感。 以前,如果 ATA 是特定组列表的成员,则会自动将其视为 实体敏感 。 现在可以手动将其他用户或组标记为敏感,例如董事会成员、公司高管、销售总监等,ATA 会将其视为敏感用户或组。
在 ATA 控制台中,单击菜单栏中的 “配置” 齿轮。
在 “检测 ”下,单击“ 实体标记”。
在 “敏感 ”部分中,键入 敏感帐户 和 敏感组 的名称,然后单击“签名” + 添加它们。
单击保存。
单击实体名称转到实体配置文件页。 在这里,你将能够了解实体被视为敏感的原因 - 无论是由于组中的成员身份还是由于手动标记为敏感。
敏感组
以下组列表被 ATA 视为“敏感”。 属于这些组的任何实体都被视为敏感:
- 管理员
- Power Users
- 帐户操作员
- 服务器操作员
- 打印运算符
- Backup Operators
- 复制器
- 远程桌面用户
- 网络配置操作员
- 传入林信任生成器
- Domain Admins
- 域控制器
- 组策略创意者所有者
- 只读域控制器
- 企业只读域控制器
- Schema Admins
- Enterprise Admins