Del via

Utbedringshandlinger i Microsoft Defender for identitet

  • Artikkel

Gjelder for:

  • Microsoft Defender for identitet
  • Microsoft Defender XDR

Microsoft Defender for identitet lar deg svare på kompromitterte brukere ved å deaktivere kontoene deres eller tilbakestille passordet. Når du har tatt affære med brukere, kan du kontrollere aktivitetsdetaljene i handlingssenteret.

Svarhandlingene for brukere er tilgjengelige direkte fra brukersiden, brukersidepanelet, siden avansert jakt eller i handlingssenteret.

Se følgende video for å finne ut mer om utbedringshandlinger i Defender for Identitet:


Forutsetninger

Hvis du vil utføre noen av de støttede handlingene, må du:

  • Konfigurer kontoen som Microsoft Defender for identitet skal bruke til å utføre dem. Som standard vil den Microsoft Defender for identitet sensoren som er installert på en domenekontroller, representere LocalSystem-kontoen til domenekontrolleren og utføre handlingene ovenfor. Du kan imidlertid endre denne standard virkemåten ved å konfigurere en gMSA-konto og begrense tillatelsene etter behov.

  • Logg på Microsoft Defender XDR med relevante tillatelser. For Defender for identitetshandlinger trenger du en egendefinert rolle med svartillatelser (behandle ). Hvis du vil ha mer informasjon, kan du se Opprette egendefinerte roller med Microsoft Defender XDR Unified RBAC.

Støttede handlinger

Følgende Defender for Identity-handlinger kan utføres direkte på dine lokale identiteter:

  • Deaktiver bruker i Active Directory: Dette vil midlertidig hindre en bruker i å logge på det lokale nettverket. Dette kan bidra til å forhindre at kompromitterte brukere beveger seg sidelengs og forsøker å eksfiltrere data eller ytterligere kompromittere nettverket.

  • Tilbakestill brukerpassord – Dette vil be brukeren om å endre passordet ved neste pålogging, slik at denne kontoen ikke kan brukes til ytterligere etterligningsforsøk.

Avhengig av Microsoft Entra ID rollene dine, kan det hende du ser flere Microsoft Entra ID handlinger, for eksempel å kreve at brukere logger på igjen og bekrefter en bruker som kompromittert. Hvis du vil ha mer informasjon, kan du se Utbedre risikoer og oppheve blokkeringen av brukere.

Utbedringshandlinger i Defender for Identitet

Se også

Microsoft Defender for identitet handlingskontoer