Udostępnij za pośrednictwem

Akcje korygowania w Microsoft Defender for Identity

  • Artykuł

Dotyczy:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identity umożliwia reagowanie na naruszenia zabezpieczeń użytkowników przez wyłączenie ich kont lub zresetowanie hasła. Po wykonaniu akcji dla użytkowników możesz sprawdzić szczegóły działania w centrum akcji.

Akcje odpowiedzi dla użytkowników są dostępne bezpośrednio ze strony użytkownika, panelu po stronie użytkownika, strony zaawansowanego wyszukiwania zagrożeń lub centrum akcji.

Obejrzyj poniższy film wideo, aby dowiedzieć się więcej o akcjach korygowania w usłudze Defender for Identity:


Wymagania wstępne

Aby wykonać dowolną z obsługiwanych akcji, należy wykonać następujące czynności:

  • Skonfiguruj konto, którego Microsoft Defender for Identity będzie używać do ich wykonania. Domyślnie czujnik Microsoft Defender for Identity zainstalowany na kontrolerze domeny personifikuje konto LocalSystem kontrolera domeny i wykonuje powyższe akcje. Można jednak zmienić to domyślne zachowanie, konfigurując konto gMSA i określając zakres uprawnień zgodnie z potrzebami.

  • Zaloguj się do Microsoft Defender XDR z odpowiednimi uprawnieniami. W przypadku akcji Usługi Defender for Identity potrzebna jest rola niestandardowa z uprawnieniami odpowiedzi (zarządzania ). Aby uzyskać więcej informacji, zobacz Tworzenie ról niestandardowych za pomocą Microsoft Defender XDR Unified RBAC.

Obsługiwane akcje

Następujące akcje usługi Defender for Identity można wykonać bezpośrednio w tożsamościach lokalnych:

  • Wyłącz użytkownika w usłudze Active Directory: tymczasowo uniemożliwi to użytkownikowi zalogowanie się do sieci lokalnej. Może to pomóc zapobiec przechodzeniu użytkowników z naruszeniem zabezpieczeń w przyszłości i próbom eksfiltrowania danych lub dalszego naruszenia zabezpieczeń sieci.

  • Resetowanie hasła użytkownika — spowoduje to wyświetlenie monitu o zmianę hasła podczas następnego logowania, dzięki czemu nie będzie można użyć tego konta do dalszych prób personifikacji.

W zależności od ról Tożsamość Microsoft Entra mogą zostać wyświetlone dodatkowe akcje Tożsamość Microsoft Entra, takie jak wymaganie od użytkowników ponownego zalogowania się i potwierdzanie użytkownika jako naruszonego. Aby uzyskać więcej informacji, zobacz Korygowanie ryzyka i odblokowywanie użytkowników.

Akcje korygowania w usłudze Defender for Identity

Zobacz też

konta akcji Microsoft Defender for Identity