Actions de correction dans Microsoft Defender pour Identity
Applicabilité :
- Microsoft Defender pour l’identité
- Microsoft Defender XDR
Microsoft Defender pour Identity vous permet de répondre aux utilisateurs compromis en désactivant leurs comptes ou en réinitialisant leur mot de passe. Après avoir effectué des actions sur les utilisateurs, vous pouvez vérifier les détails de l’activité dans le centre de notifications.
Les actions de réponse sur les utilisateurs sont disponibles directement à partir de la page utilisateur, du panneau latéral utilisateur, de la page de repérage avancée ou dans le centre de notifications.
Regardez la vidéo suivante pour en savoir plus sur les actions de correction dans Defender pour Identity :
Prérequis
Pour effectuer l’une des actions prises en charge, vous devez :
Configurez le compte que Microsoft Defender pour Identity utilisera pour les effectuer. Par défaut, le capteur Microsoft Defender pour Identity installé sur un contrôleur de domaine usurpe l’identité du compte LocalSystem du contrôleur de domaine et effectue les actions ci-dessus. Toutefois, vous pouvez modifier ce comportement par défaut en configurant un compte gMSA et en définissant les autorisations nécessaires.
Soyez connecté à Microsoft Defender XDR avec les autorisations pertinentes. Pour les actions Defender for Identity, vous aurez besoin d’un rôle personnalisé avec des autorisations de réponse (gérer). Pour plus d’informations, veuillez consulter la section Créer des rôles personnalisés avec Microsoft Defender XDR Unified RBAC.
Actions prises en charge
Les actions suivantes de Defender for Identity peuvent être exécutées directement sur vos identités locales :
Désactiver l’utilisateur dans Active Directory : Cela empêchera temporairement un utilisateur de se connecter au réseau local. Cela peut aider à empêcher les utilisateurs compromis de se déplacer ultérieurement et de tenter d’exfiltrer des données ou de compromettre davantage le réseau.
Réinitialiser le mot de passe de l’utilisateur : cela invite l’utilisateur à modifier son mot de passe lors de la prochaine ouverture de session, ce qui garantit que ce compte ne peut pas être utilisé pour d’autres tentatives d’usurpation d’identité.
Selon vos rôles Microsoft Entra ID, vous pourriez voir des actions supplémentaires de Microsoft Entra ID, telles que l’exigence pour les utilisateurs de se reconnecter et la confirmation d’un utilisateur comme compromis. Pour plus d’informations, veuillez consulter la section Atténuer les risques et débloquer les utilisateurs.
Vidéos connexes
Actions de correction dans Defender pour Identity