Abhilfemaßnahmen in Microsoft Defender for Identity

  • Artikel

Gilt für:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identity ermöglicht Es Ihnen, auf kompromittierte Benutzer zu reagieren, indem Sie ihre Konten deaktivieren oder ihr Kennwort zurücksetzen. Nachdem Sie Aktionen für Dateien ausgeführt haben, können Sie die Aktivitätsdetails im Info-Center überprüfen.

Die Antwortaktionen für Benutzer stehen direkt von der Benutzerseite, dem benutzerseitigen Bereich, der Seite für die erweiterte Suche oder im Info-Center zur Verfügung.

Schauen Sie sich das folgende Video an, um mehr über Korrekturaktionen in Defender for Identity zu erfahren:


Voraussetzungen

Um eine der unterstützten Aktionen auszuführen, müssen Sie:

  • Konfigurieren Sie das Konto, das Microsoft Defender for Identity zum Ausführen verwendet. Standardmäßig wird der microsoft Defender for Identity-Sensor, der auf einem Do Standard Controller installiert ist, den Identitätswechsel des LocalSystem-Kontos des Do Standard Controllers durchführen und die oben genannten Aktionen ausführen. Sie können dieses Standardverhalten jedoch ändern, indem Sie ein gMSA-Konto einrichten und die erforderlichen Berechtigungen festlegen.

  • Melden Sie sich bei Microsoft Defender XDR mit relevanten Berechtigungen an. Für Defender for Identity-Aktionen benötigen Sie eine benutzerdefinierte Rolle mit Antwortberechtigungen (Verwalten). Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Rollen mit Microsoft Defender XDR Unified RBAC.

Unterstützte Aktionen

Die folgenden Defender for Identity-Aktionen können direkt auf Ihren lokalen Identitäten ausgeführt werden:

  • Benutzer in Active Directory deaktivieren: Dadurch wird vorübergehend verhindert, dass sich ein Benutzer beim lokalen Netzwerk anmeldet. Es kann verhindern, dass kompromittierte Benutzer lateral verschoben werden und versuchen, Daten zu exfiltrieren oder das Netzwerk weiter zu kompromittieren.

  • Zurücksetzen des Benutzerkennworts – Dies fordert den Benutzer auf, sein Kennwort bei der nächsten Anmeldung zu ändern, um sicherzustellen, dass dieses Konto nicht für weitere Identitätswechselversuche verwendet werden kann.

Je nach Ihren Microsoft Entra-ID-Rollen wird möglicherweise eine zusätzliche Microsoft Entra-ID-Aktion angezeigt, z. B. dass sich Benutzer erneut anmelden und benutzer als kompromittiert bestätigen. Weitere Informationen finden Sie unter "Beheben von Risiken und Aufheben der Blockierung von Benutzern".

Wartungsaktionen in Defender for Identity

Siehe auch

Microsoft Defender for Identity-Aktionskonten