Abhilfemaßnahmen in Microsoft Defender for Identity
Gilt für:
- Microsoft Defender for Identity
- Microsoft Defender XDR
Microsoft Defender for Identity ermöglicht Es Ihnen, auf kompromittierte Benutzer zu reagieren, indem Sie ihre Konten deaktivieren oder ihr Kennwort zurücksetzen. Nachdem Sie Aktionen für Dateien ausgeführt haben, können Sie die Aktivitätsdetails im Info-Center überprüfen.
Die Antwortaktionen für Benutzer stehen direkt von der Benutzerseite, dem benutzerseitigen Bereich, der Seite für die erweiterte Suche oder im Info-Center zur Verfügung.
Schauen Sie sich das folgende Video an, um mehr über Korrekturaktionen in Defender for Identity zu erfahren:
Voraussetzungen
Um eine der unterstützten Aktionen auszuführen, müssen Sie:
Konfigurieren Sie das Konto, das Microsoft Defender for Identity zum Ausführen verwendet. Standardmäßig wird der microsoft Defender for Identity-Sensor, der auf einem Do Standard Controller installiert ist, den Identitätswechsel des LocalSystem-Kontos des Do Standard Controllers durchführen und die oben genannten Aktionen ausführen. Sie können dieses Standardverhalten jedoch ändern, indem Sie ein gMSA-Konto einrichten und die erforderlichen Berechtigungen festlegen.
Melden Sie sich bei Microsoft Defender XDR mit entsprechenden Berechtigungen an. Für Defender for Identity-Aktionen benötigen Sie eine benutzerdefinierte Rolle mit Berechtigungen Antworten (verwalten).. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Rollen mit Microsoft Defender XDR Unified RBAC.
Unterstützte Aktionen
Die folgenden Defender for Identity-Aktionen können direkt auf Ihren lokalen Identitäten ausgeführt werden:
Benutzer in Active Directory deaktivieren: Dadurch wird vorübergehend verhindert, dass sich ein Benutzer beim lokalen Netzwerk anmeldet. Es kann verhindern, dass kompromittierte Benutzer lateral verschoben werden und versuchen, Daten zu exfiltrieren oder das Netzwerk weiter zu kompromittieren.
Zurücksetzen des Benutzerkennworts – Dies fordert den Benutzer auf, sein Kennwort bei der nächsten Anmeldung zu ändern, um sicherzustellen, dass dieses Konto nicht für weitere Identitätswechselversuche verwendet werden kann.
Abhängig von Ihren Microsoft Entra ID-Rollen werden möglicherweise zusätzliche Microsoft Entra ID-Aktionen angezeigt, z. B. das Auffordern von Benutzern zum erneuten Anmelden und das Bestätigen eines Benutzers als kompromittiert. Weitere Informationen finden Sie unter Behandeln von Risiken und Aufheben der Blockierung von Benutzern.
Verwandte Videos
Wartungsaktionen in Defender for Identity