在 Microsoft Defender 全面偵測回應 (Preview) 中下載並排程適用於身分識別的 Defender 報告
Microsoft Defender 全面偵測回應 提供適用於身分識別的Defender報告,您可以視需要產生報告,或設定以電子郵件定期傳送。
Microsoft Defender 全面偵測回應 中適用於身分識別的 Access Defender 報告
若要存取 Microsoft Defender 全面偵測回應 中的適用於身分識別的 Defender 報告,請從左側導覽功能表中選取 [報告>身分識別>報表管理]。
可用的報告包括:
| 報告名稱 | 描述 |
|---|---|
| 摘要 | 顯示系統狀態的儀錶板,包括: - 摘要:偵測到的網路活動摘要 - 開啟健康情況問題:清單 身分識別的Defender健康情況問題。 可疑的活動和健康情況問題會依類型列出。 |
| 修改敏感性群組 | 每次修改敏感性群組時,例如系統管理員或手動標記的帳戶或群組,清單。 如果您使用適用於身分識別的 Defender 獨立感測器,請確定 事件已從域控制器轉送到獨立感測器 ,以接收有關敏感性群組的完整報告。 |
| 以純文字公開的密碼 | 清單 以純文本傳送適用於身分識別的Defender所偵測到的所有來源電腦和帳戶密碼。 注意:有些服務會使用LDAP不安全的通訊協定,以純文本傳送帳戶認證。 這甚至會發生在敏感性帳戶。 監視網路流量的攻擊者可以攔截這些認證,然後基於惡意目的重複使用這些認證。 |
| 敏感性帳戶的橫向動作路徑 | 清單 所選報表期間透過橫向動作路徑公開的敏感性帳戶。 如需詳細資訊,請參閱 橫向動作路徑。 |
視需要產生報表
若要視需要產生報表:
在 [Microsoft Defender 全面偵測回應] 中,選取 [報表>身分識別>報表管理]。
在 [身 分識別報告 ] 頁面上,選取報表,然後選取 [ 下載]。
在右側顯示的 [下載報表] 窗格中,定義報表的時間週期,然後選取 [ 下載報表]。
您的報表是由您的瀏覽器下載,您可以在其中開啟或儲存報表。 下載的報表最多包含 100,000 個數據列。
依電子郵件排程報表
若要定義要透過電子郵件傳送給您的報表排程:
在 [Microsoft Defender 全面偵測回應] 中,選取 [報表>身分識別>報表管理]。
在 [ 身分識別報告 ] 頁面上,選取報表,然後選取 [ 排程報表]。
使用精靈來定義下列詳細資料:
在 [ 設定排程 ] 頁面上,定義您要傳送報表的條件,以及您想要傳送報表的時間。
您的報表會根據本機或 UTC) (Microsoft Defender 全面偵測回應 時區設定來傳送。 如需詳細資訊,請參閱設定 Microsoft Defender 全面偵測回應 的時區。
在 [ 收件者] 頁面上,輸入並新增您想要接收報表之任何人的電子郵件位址。 選取 [下一步 ] 以完成排程。
[ 完成] 頁面會顯示確認訊息。 選取 [關閉 ] 以關閉精靈。
設定排程之後,請重複此程式來編輯排程的時間或收件者。
拿掉所有排程的報表
若要移除排程的報表,並停止傳送:
在 [Microsoft Defender 全面偵測回應] 中,選取 [報告>身分識別>報表管理]。
在 [身 分識別報告 ] 頁面上,選取您要停止傳送的報表,然後選取 [ 重設排程]。
在確認訊息中,選取 [ 重設 ] 以完成程式。