Akcje korygowania w usłudze Microsoft Defender for Identity

  • Artykuł

Dotyczy:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Usługa Microsoft Defender for Identity umożliwia reagowanie na naruszonych użytkowników przez wyłączenie kont lub zresetowanie hasła. Po wykonaniu akcji dla użytkowników możesz sprawdzić szczegóły działania w centrum akcji.

Akcje odpowiedzi dla użytkowników są dostępne bezpośrednio ze strony użytkownika, panelu bocznego użytkownika, strony zaawansowanego wyszukiwania zagrożeń lub w centrum akcji.

Obejrzyj poniższy film wideo, aby dowiedzieć się więcej o akcjach korygowania w usłudze Defender for Identity:


Wymagania wstępne

Aby wykonać dowolne z obsługiwanych akcji, należy wykonać następujące czynności:

  • Skonfiguruj konto, które będzie używane przez usługę Microsoft Defender for Identity do ich wykonania. Domyślnie czujnik usługi Microsoft Defender for Identity zainstalowany na kontrolerze domeny personifikuje konto LocalSystem kontrolera domeny i wykonuje powyższe akcje. Można jednak zmienić to domyślne zachowanie, konfigurując konto gMSA i określając zakres uprawnień zgodnie z potrzebami.

  • Zaloguj się do usługi Microsoft Defender XDR, aby uzyskać odpowiednie uprawnienia. W przypadku akcji usługi Defender for Identity potrzebna jest rola niestandardowa z uprawnieniami Odpowiedzi (zarządzanie). Aby uzyskać więcej informacji, zobacz Create custom roles with Microsoft Defender XDR Unified RBAC (Tworzenie ról niestandardowych za pomocą usługi Microsoft Defender XDR Unified RBAC).

Obsługiwane akcje

Następujące akcje usługi Defender for Identity można wykonywać bezpośrednio w tożsamościach lokalnych:

  • Wyłącz użytkownika w usłudze Active Directory: spowoduje to tymczasowe uniemożliwienie użytkownikowi zalogowania się do sieci lokalnej. Może to pomóc zapobiec przeniesieniu użytkowników z naruszonych danych i podjęciu próby eksfiltracji danych lub dalszego naruszenia zabezpieczeń sieci.

  • Resetowanie hasła użytkownika — spowoduje to wyświetlenie monitu użytkownika o zmianę hasła podczas następnego logowania, dzięki czemu nie można użyć tego konta do dalszych prób personifikacji.

W zależności od ról identyfikatora entra firmy Microsoft możesz zobaczyć dodatkową akcję identyfikatora Entra firmy Microsoft, na przykład wymagającą od użytkowników ponownego logowania się i potwierdzania użytkowników jako naruszonych zabezpieczeń. Aby uzyskać więcej informacji, zobacz Korygowanie zagrożeń i odblokowywanie użytkowników.

Akcje korygowania w usłudze Defender for Identity

Zobacz też

Konta akcji usługi Microsoft Defender for Identity