Delen via

Herstelacties in Microsoft Defender for Identity

  • Artikel

Van toepassing op:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identity kunt u reageren op gecompromitteerde gebruikers door hun accounts uit te schakelen of hun wachtwoord opnieuw in te stellen. Nadat u actie hebt ondernomen voor gebruikers, kunt u de activiteitsgegevens controleren in het actiecentrum.

De antwoordacties voor gebruikers zijn rechtstreeks beschikbaar vanaf de gebruikerspagina, het deelvenster aan de gebruikerszijde, de geavanceerde opsporingspagina of in het actiecentrum.

Bekijk de volgende video voor meer informatie over herstelacties in Defender for Identity:


Vereisten

Als u een van de ondersteunde acties wilt uitvoeren, moet u het volgende doen:

  • Configureer het account dat Microsoft Defender for Identity gebruikt om deze uit te voeren. De Microsoft Defender for Identity sensor die op een domeincontroller is geïnstalleerd, imiteert standaard het LocalSystem-account van de domeincontroller en voert de bovenstaande acties uit. U kunt dit standaardgedrag echter wijzigen door een gMSA-account in te stellen en de machtigingen naar behoefte in te stellen.

  • U bent aangemeld bij Microsoft Defender XDR met relevante machtigingen. Voor Defender for Identity-acties hebt u een aangepaste rol met antwoordmachtigingen (beheren) nodig. Zie Aangepaste rollen maken met Microsoft Defender XDR Unified RBAC voor meer informatie.

Ondersteunde acties

De volgende Defender for Identity-acties kunnen rechtstreeks op uw on-premises identiteiten worden uitgevoerd:

  • Gebruiker uitschakelen in Active Directory: hierdoor kan een gebruiker zich tijdelijk niet aanmelden bij het on-premises netwerk. Dit kan helpen voorkomen dat gecompromitteerde gebruikers zich lateraal verplaatsen en proberen gegevens te exfiltreren of het netwerk verder in gevaar te komen.

  • Gebruikerswachtwoord opnieuw instellen : hiermee wordt de gebruiker gevraagd het wachtwoord te wijzigen bij de volgende aanmelding, zodat dit account niet kan worden gebruikt voor verdere imitatiepogingen.

Afhankelijk van uw Microsoft Entra ID rollen ziet u mogelijk aanvullende Microsoft Entra ID acties, zoals gebruikers verplichten zich opnieuw aan te melden en te bevestigen dat een gebruiker is gehackt. Zie Risico's oplossen en gebruikers deblokkeren voor meer informatie.

Herstelacties in Defender for Identity

Zie ook

Microsoft Defender for Identity actieaccounts