Dela via

Åtgärdsåtgärder i Microsoft Defender for Identity

  • Artikel

Gäller för:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identity gör att du kan svara komprometterade användare genom att inaktivera deras konton eller återställa deras lösenord. När du har vidta åtgärder för användare kan du kontrollera aktivitetsinformationen i åtgärdscentret.

Svarsåtgärderna för användare är tillgängliga direkt från användarsidan, panelen på användarsidan, sidan avancerad jakt eller i åtgärdscentret.

Titta på följande video om du vill veta mer om reparationsåtgärder i Defender för identitet:


Förhandskrav

Om du vill utföra någon av de åtgärder som stöds måste du:

  • Konfigurera det konto som Microsoft Defender for Identity ska använda för att utföra dem. Som standard personifierar den Microsoft Defender for Identity sensor som är installerad på en domänkontrollant Domänkontrollantens LocalSystem-konto för domänkontrollanten och utför ovanstående åtgärder. Du kan dock ändra det här standardbeteendet genom att konfigurera ett gMSA-konto och omfång för de behörigheter som du behöver.

  • Loggas in på Microsoft Defender XDR med relevanta behörigheter. För Defender for Identity-åtgärder behöver du en anpassad roll med behörigheter för svar (hantera). Mer information finns i Skapa anpassade roller med Microsoft Defender XDR Unified RBAC.

Åtgärder som stöds

Följande Defender for Identity-åtgärder kan utföras direkt på dina lokala identiteter:

  • Inaktivera användare i Active Directory: Detta förhindrar tillfälligt att en användare loggar in på det lokala nätverket. Detta kan hjälpa till att förhindra att komprometterade användare rör sig i sidled och försöker exfiltera data eller ytterligare kompromettera nätverket.

  • Återställ användarlösenord – Detta uppmanar användaren att ändra sitt lösenord vid nästa inloggning, vilket säkerställer att det här kontot inte kan användas för ytterligare personifieringsförsök.

Beroende på dina Microsoft Entra ID roller kan du se ytterligare Microsoft Entra ID åtgärder, till exempel kräva att användarna loggar in igen och bekräftar att en användare har komprometterats. Mer information finns i Åtgärda risker och avblockera användare.

Reparationsåtgärder i Defender för identitet

Se även

Microsoft Defender for Identity åtgärdskonton