Microsoft Defender for Identity の修復アクション
適用対象:
- Microsoft Defender for Identity
- Microsoft Defender XDR
Microsoft Defender for Identity を使用すると、アカウントを無効にするか、パスワードをリセットすることで、侵害を受けたユーザーに対応できます。 ユーザーに対する操作を行った後は、アクション センターでアクティビティの詳細を確認できます。
ユーザーに対する応答アクションは、ユーザー ページ、ユーザー側パネル、高度なハンティング ページ、またはアクション センターから直接使用できます。
Defender for Identity の修復アクションの詳細については、次のビデオをご覧ください。
前提条件
サポートされているアクションのいずれかを実行するには、次のことを行う必要があります。
Microsoft Defender for Identity がそれらを実行するために使用するアカウントを構成します。 既定では、ドメイン コントローラーにインストールされている Microsoft Defender for Identity センサーは、ドメイン コントローラーの LocalSystem アカウントを偽装し、アクションを実行します。 ただし、gMSA アカウントを設定し、必要に応じてアクセス許可のスコープを設定することで、このデフォルト設定の動作を変更できます。
関連するアクセス許可を使用して Microsoft Defender XDR にサインインします。 Defender for Identity アクションの場合は、応答 (管理) アクセス許可を持つカスタム ロールが必要です。 詳細については、「Microsoft Defender XDR 統合 RBAC を使用してカスタム ロールを作成する」を参照してください。
サポートされているアクション
次の Defender for Identity アクションは、オンプレミスの ID で直接実行できます。
Active Directory でユーザーを無効にする: これにより、ユーザーが一時的にオンプレミス ネットワークにサインインできなくなります。 これは、侵害されたユーザーが横方向に移動したり、データを流出させたり、ネットワークをさらに侵害したりするのを防ぐのに役立ちます。
ユーザーのパスワードをリセットする – これにより、ユーザーは次にログオンするときにパスワードの変更を求められ、このアカウントをそれ以上偽装の試みに使用できなくなります。
Microsoft Entra ID ロールによっては、ユーザーに再度サインインを要求し、ユーザーが侵害されたことを確認するなど、追加の Microsoft Entra ID アクションが表示される場合があります。 詳細については、「リスクの修復とユーザーのブロック解除」を参照してください。
関連ビデオ
Defender for Identity の修復アクション