Herstelacties in Microsoft Defender for Identity

  • Artikel

Van toepassing op:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Met Microsoft Defender for Identity kunt u reageren op gecompromitteerde gebruikers door hun accounts uit te schakelen of hun wachtwoord opnieuw in te stellen. Nadat u actie hebt ondernomen op gebruikers, kunt u de details van de activiteit controleren in het actiecentrum.

De antwoordacties voor gebruikers zijn rechtstreeks beschikbaar vanaf de gebruikerspagina, het deelvenster aan de gebruikerszijde, de geavanceerde opsporingspagina of in het actiecentrum.

Bekijk de volgende video voor meer informatie over herstelacties in Defender for Identity:


Vereisten

Als u een van de ondersteunde acties wilt uitvoeren, moet u het volgende doen:

  • Configureer het account dat Door Microsoft Defender for Identity wordt gebruikt om ze uit te voeren. De Microsoft Defender for Identity-sensor die op een domeincontroller is geïnstalleerd, imiteert standaard het LocalSystem-account van de domeincontroller en voert de bovenstaande acties uit. U kunt dit standaardgedrag echter wijzigen door een gMSA-account in te stellen en de machtigingen naar behoefte te bepalen.

  • Meld u aan bij Microsoft Defender XDR met relevante machtigingen. Voor Defender for Identity-acties hebt u een aangepaste rol nodig met antwoordmachtigingen (beheren). Zie Aangepaste rollen maken met Microsoft Defender XDR Unified RBAC voor meer informatie.

Ondersteunde acties

De volgende Defender for Identity-acties kunnen rechtstreeks op uw on-premises identiteiten worden uitgevoerd:

  • Gebruiker uitschakelen in Active Directory: Hiermee voorkomt u tijdelijk dat een gebruiker zich aanmeldt bij het on-premises netwerk. Dit kan voorkomen dat gecompromitteerde gebruikers zich lateraal verplaatsen en proberen gegevens te exfiltreren of het netwerk verder in gevaar te krijgen.

  • Gebruikerswachtwoord opnieuw instellen: hiermee wordt de gebruiker gevraagd het wachtwoord te wijzigen bij de volgende aanmelding, zodat dit account niet kan worden gebruikt voor verdere imitatiepogingen.

Afhankelijk van uw Microsoft Entra-id-rollen, ziet u mogelijk extra Microsoft Entra ID-actie, zoals vereisen dat gebruikers zich opnieuw aanmelden en een gebruiker bevestigen als gecompromitteerd. Zie Risico's herstellen en gebruikers deblokkeren voor meer informatie.

Herstelacties in Defender for Identity

Zie ook

Microsoft Defender for Identity-actieaccounts