Microsoft Defender for Identity中的修正操作
应用于:
- Microsoft Defender for Identity
- Microsoft Defender XDR
Microsoft Defender for Identity允许你通过禁用其帐户或重置其密码来响应泄露的用户。 对用户执行操作后,可以在操作中心检查活动详细信息。
可以直接从用户页面、用户端面板、高级搜寻页或操作中心获取对用户的响应操作。
观看以下视频,详细了解 Defender for Identity 中的修正操作:
先决条件
若要执行任何 受支持的操作,需要:
配置Microsoft Defender for Identity用于执行这些操作的帐户。 默认情况下,安装在域控制器上的Microsoft Defender for Identity传感器将模拟域控制器的 LocalSystem 帐户并执行上述操作。 但是,可以通过 设置 gMSA 帐户 并根据需要限定权限范围来更改此默认行为。
使用相关权限登录到 Microsoft Defender XDR。 对于 Defender for Identity 操作,需要具有 响应 (管理) 权限的 自定义角色。 有关详细信息,请参阅使用统一 RBAC Microsoft Defender XDR创建自定义角色。
支持的操作
可以直接在本地标识上执行以下 Defender for Identity 操作:
禁用 Active Directory 中的用户:这会暂时阻止用户登录到本地网络。 这有助于防止受攻击的用户横向移动并尝试泄露数据或进一步入侵网络。
重置用户密码 – 这将提示用户在下次登录时更改其密码,确保此帐户不能用于进一步的模拟尝试。
根据Microsoft Entra ID角色,你可能会看到其他Microsoft Entra ID操作,例如要求用户再次登录和确认用户已遭入侵。 有关详细信息,请参阅 修正风险和取消阻止用户。