下载并计划 Microsoft Defender XDR (预览版中的 Defender for Identity 报表)
Microsoft Defender XDR提供 Defender for Identity 报告,可以按需生成,也可以配置为通过电子邮件定期发送。
Microsoft Defender XDR 中的 Access Defender for Identity 报表
若要在 Microsoft Defender XDR 访问 Defender for Identity 报表,请从左侧导航菜单中选择“报表>标识>报表管理”。
可用报告包括:
| 报告名 | 说明 |
|---|---|
| 摘要 | 显示系统状态的仪表板,包括: - 摘要:检测到的网络活动的摘要 - 未解决的运行状况问题:Lists应注意的 Defender for Identity 运行状况问题。 可疑活动和运行状况问题按类型列出。 |
| 对敏感组的修改 | 每次对敏感组(例如管理员或手动标记的帐户或组)进行修改时,Lists。 如果使用 Defender for Identity 独立传感器,请确保 事件从域控制器转发到独立传感器 ,以便接收有关敏感组的完整报告。 |
| 以明文形式公开的密码 | Lists以明文形式发送 Defender for Identity 检测到的所有源计算机和帐户密码。 注意:某些服务使用 LDAP 不安全协议以纯文本形式发送帐户凭据。 甚至对于敏感帐户,这种情况也会发生。 监视网络流量的攻击者可能会捕获这些凭据,然后将这些凭据用于恶意目的。 |
| 敏感帐户的横向移动路径 | Lists所选报表期间通过横向移动路径公开的敏感帐户。 有关详细信息,请参阅 横向移动路径。 |
按需生成报表
若要按需生成报表,请执行以下操作:
在“Microsoft Defender XDR”中,选择“报表>标识>报表管理”。
在 “标识报表 ”页上,选择一个报表,然后选择“ 下载”。
在右侧显示的下载报表窗格中,为报表定义一个时间段,然后选择“ 下载报表”。
报表由浏览器下载,可在其中打开或保存报表。 下载的报表最多包含 100,000 行。
通过电子邮件计划报表
若要定义通过电子邮件发送给你的报表的计划,请执行以下操作:
在“Microsoft Defender XDR”中,选择“报表>标识>报表管理”。
在 “标识报表 ”页上,选择一个报表,然后选择“ 计划报表”。
使用向导定义以下详细信息:
在 “设置计划 ”页上,定义要发送报表的条件,以及要发送报表的时间。
根据本地或 UTC) (Microsoft Defender XDR时区设置发送报告。 有关详细信息,请参阅设置Microsoft Defender XDR的时区。
在“ 收件人 ”页上,输入并添加要接收报表的任何人的电子邮件地址。 选择“ 下一步 ”完成计划。
“ 完成” 页显示确认消息。 选择“ 关闭” 以关闭向导。
配置计划后,重复此过程以编辑计划的时间或收件人。
删除所有计划的报表
若要删除计划报表并阻止其发送,请执行以下操作:
在“Microsoft Defender XDR”中,选择“报表>标识>报表管理”。
在 “标识报表 ”页上,选择要停止发送的报表,然后选择“ 重置计划”。
在确认消息中,选择“ 重置 ”以完成该过程。