Del via

Afhjælpningshandlinger i Microsoft Defender for Identity

  • Artikel

Gælder for:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identity giver dig mulighed for at reagere på kompromitterede brugere ved at deaktivere deres konti eller nulstille deres adgangskode. Når du har foretaget en handling på brugerne, kan du kontrollere aktivitetsoplysningerne i handlingscenteret.

Svarhandlingerne på brugerne er tilgængelige direkte fra brugersiden, brugersidepanelet, siden avanceret jagt eller i handlingscenteret.

Se følgende video for at få mere at vide om afhjælpningshandlinger i Defender for Identity:


Forudsætninger

Hvis du vil udføre en af de understøttede handlinger, skal du:

  • Konfigurer den konto, som Microsoft Defender for Identity skal bruge til at udføre dem. Den Microsoft Defender for Identity sensor, der er installeret på en domænecontroller, repræsenterer som standard domænecontrollerens LocalSystem-konto og udfører ovenstående handlinger. Du kan dog ændre denne standardfunktionsmåde ved at konfigurere en gMSA-konto og tilpasse tilladelserne efter behov.

  • Være logget på Microsoft Defender XDR med relevante tilladelser. I forbindelse med Defender for Identity-handlinger skal du have en brugerdefineret rolle med tilladelser til svar (administration). Du kan få flere oplysninger under Opret brugerdefinerede roller med Microsoft Defender XDR Unified RBAC.

Understøttede handlinger

Følgende Defender for Identity-handlinger kan udføres direkte på dine identiteter i det lokale miljø:

  • Deaktiver bruger i Active Directory: Dette forhindrer midlertidigt en bruger i at logge på netværket i det lokale miljø. Dette kan forhindre kompromitterede brugere i at flytte side om side og forsøge at eksfiltrere data eller kompromittere netværket yderligere.

  • Nulstil brugeradgangskoden – Dette beder brugeren om at ændre sin adgangskode ved næste logon, så det sikres, at denne konto ikke kan bruges til yderligere repræsentationsforsøg.

Afhængigt af dine Microsoft Entra ID roller kan du se yderligere Microsoft Entra ID handlinger, f.eks. kræve, at brugerne logger på igen og bekræfter, at en bruger er kompromitteret. Du kan få flere oplysninger under Afhjælpning af risici og fjernelse af blokering af brugere.

Afhjælpningshandlinger i Defender for Identity

Se også

Microsoft Defender for Identity handlingskonti