Azioni correttive in Microsoft Defender per identità

  • Articolo

Si applica a:

  • Microsoft Defender per identità
  • Microsoft Defender XDR

Microsoft Defender per identità consente di rispondere agli utenti compromessi disabilitando gli account o reimpostando la password. Dopo aver eseguito azioni sugli utenti, è possibile controllare i dettagli dell'attività nel centro notifiche.

Le azioni di risposta sugli utenti sono disponibili direttamente dalla pagina utente, dal pannello laterale dell'utente, dalla pagina di ricerca avanzata o dal centro notifiche.

Guardare il video seguente per altre informazioni sulle azioni di correzione in Defender per identità:


Prerequisiti

Per eseguire una delle azioni supportate, è necessario:

  • Configurare l'account che Microsoft Defender per identità userà per eseguirle. Per impostazione predefinita, il sensore Microsoft Defender per identità installato in un controller di dominio rappresenta l'account LocalSystem del controller di dominio ed esegue le azioni precedenti. Tuttavia, è possibile modificare questo comportamento predefinito configurando un account del servizio gestito del gruppo e definire l'ambito delle autorizzazioni in base alle esigenze.

  • Accedere a Microsoft Defender XDR con le autorizzazioni pertinenti. Per le azioni di Defender per identità, è necessario un ruolo personalizzato con autorizzazioni di risposta (gestione). Per altre informazioni, vedere Creare ruoli personalizzati con Il controllo degli accessi in base al ruolo unificato di Microsoft Defender XDR.

Azioni supportate

Le azioni di Defender per identità seguenti possono essere eseguite direttamente nelle identità locali:

  • Disabilitare l'utente in Active Directory: impedisce temporaneamente a un utente di accedere alla rete locale. Ciò consente di impedire agli utenti compromessi di spostarsi in un secondo momento e tentare di esfiltrare i dati o compromettere ulteriormente la rete.

  • Reimposta password utente: richiederà all'utente di modificare la password all'accesso successivo, assicurandosi che questo account non possa essere usato per ulteriori tentativi di rappresentazione.

A seconda dei ruoli microsoft Entra ID, è possibile che venga visualizzata un'azione aggiuntiva di Microsoft Entra ID, ad esempio richiedere agli utenti di accedere di nuovo e confermare un utente come compromesso. Per altre informazioni, vedere Correggere i rischi e sbloccare gli utenti.

Azioni correttive in Defender per identità

Vedi anche

account azione Microsoft Defender per identità