Поделиться через

Действия по исправлению в Microsoft Defender для удостоверений

  • Статья

Применимо к:

  • Microsoft Defender для удостоверений
  • Microsoft Defender XDR

Microsoft Defender для удостоверений позволяет реагировать на скомпрометированных пользователей путем отключения учетных записей или сброса пароля. После выполнения действий с пользователями можно проверка сведения о действиях в центре уведомлений.

Действия реагирования на пользователей доступны непосредственно на странице пользователя, на боковой панели пользователя, на странице расширенной охоты или в центре уведомлений.

Просмотрите следующее видео, чтобы узнать больше о действиях по исправлению в Defender для удостоверений:


Предварительные условия

Чтобы выполнить любое из поддерживаемых действий, необходимо:

  • Настройте учетную запись, которую Microsoft Defender для удостоверений будет использовать для их выполнения. По умолчанию датчик Microsoft Defender для удостоверений, установленный на контроллере домена, олицетворяет учетную запись LocalSystem контроллера домена и выполняет указанные выше действия. Однако это поведение по умолчанию можно изменить, настроив учетную запись gMSA и область необходимые разрешения.

  • Войдите в Microsoft Defender XDR с соответствующими разрешениями. Для действий Defender для удостоверений вам потребуется пользовательская роль с разрешениями на ответ (управление). Дополнительные сведения см. в статье Создание пользовательских ролей с помощью Microsoft Defender XDR Unified RBAC.

Поддерживаемые действия

Следующие действия Defender для удостоверений можно выполнять непосредственно с локальными удостоверениями:

  • Отключить пользователя в Active Directory. Это временно помешает пользователю войти в локальную сеть. Это может помочь предотвратить скомпрометированные пользователи от бокового перемещения и попытки эксфильтрации данных или дальнейшего компрометации сети.

  • Сброс пароля пользователя . При этом пользователю будет предложено изменить пароль при следующем входе, что гарантирует, что эту учетную запись нельзя будет использовать для дальнейших попыток олицетворения.

В зависимости от Microsoft Entra ID ролей могут отображаться дополнительные Microsoft Entra ID действия, например требование повторного входа пользователей и подтверждение скомпрометированного пользователя. Дополнительные сведения см. в статье Устранение рисков и разблокирование пользователей.

Действия по исправлению в Defender для удостоверений

См. также

учетные записи действий Microsoft Defender для удостоверений