Compartir a través de

Acciones de corrección en Microsoft Defender for Identity

  • Artículo

Se aplica a:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identity le permite responder a los usuarios en peligro deshabilitando sus cuentas o restableciendo su contraseña. Después de realizar acciones en los usuarios, puede comprobar los detalles de la actividad en el centro de acciones.

Las acciones de respuesta de los usuarios están disponibles directamente desde la página de usuario, el panel del lado del usuario, la página de búsqueda avanzada o en el centro de acciones.

Vea el siguiente vídeo para obtener más información sobre las acciones de corrección en Defender for Identity:


Requisitos previos

Para realizar cualquiera de las acciones admitidas, debe:

  • Configure la cuenta que Microsoft Defender for Identity usará para realizarlas. De forma predeterminada, el sensor de Microsoft Defender for Identity instalado en un controlador de dominio suplantará la cuenta LocalSystem del controlador de dominio y realizará las acciones anteriores. Sin embargo, puede cambiar este comportamiento predeterminado configurando una cuenta gMSA y limitando los permisos que necesite.

  • Inicie sesión en Microsoft Defender XDR en con los permisos pertinentes. Para las acciones de Defender for Identity, necesitará un rol personalizado con permisos de respuesta (administrar). Para obtener más información, consulte Creación de roles personalizados con Microsoft Defender XDR RBAC unificado.

Acciones admitidas

Las siguientes acciones de Defender for Identity se pueden realizar directamente en las identidades locales:

  • Deshabilitar usuario en Active Directory: esto impedirá temporalmente que un usuario inicie sesión en la red local. Esto puede ayudar a evitar que los usuarios en peligro se muevan lateralmente e intenten filtrar datos o poner en peligro aún más la red.

  • Restablecer contraseña de usuario : se pedirá al usuario que cambie su contraseña en el siguiente inicio de sesión, lo que garantiza que esta cuenta no se pueda usar para más intentos de suplantación.

En función de los roles de Microsoft Entra ID, es posible que vea acciones Microsoft Entra ID adicionales, como exigir a los usuarios que vuelvan a iniciar sesión y confirmar que un usuario está en peligro. Para obtener más información, consulte Corrección de riesgos y desbloqueo de usuarios.

Acciones de corrección en Defender for Identity

Recursos adicionales

cuentas de acción de Microsoft Defender for Identity