Acciones de corrección en Microsoft Defender for identity

  • Artículo

Se aplica a:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identity le permite responder a los usuarios en peligro deshabilitando sus cuentas o restableciendo su contraseña. Después de realizar una acción en los usuarios, puede comprobar los detalles de la actividad en el centro de actividades.

Las acciones de respuesta de los usuarios están disponibles directamente desde la página de usuario, el panel del lado del usuario, la página de búsqueda avanzada o el centro de actividades.

Vea el siguiente video para obtener más información sobre las acciones de corrección en Defender for Identity:


Requisitos previos

Para realizar cualquiera de las acciones admitidas, debe:

  • Configure la cuenta que usará Microsoft Defender for Identity para realizarlas. De forma predeterminada, el sensor de Microsoft Defender for Identity instalado en un controlador de dominio suplantará la cuenta LocalSystem del controlador de dominio y realizará las acciones anteriores. Sin embargo, puede cambiar este comportamiento predeterminado mediante la configuración de una cuenta de gMSA y el ámbito de los permisos según sea necesario.

  • Inicie sesión en XDR de Microsoft Defender para con los permisos pertinentes. Para las acciones de Defender for Identity, necesitará un rol personalizado con permisos de respuesta (administrar). Para obtener más información, consulte Creación de roles personalizados con RBAC unificado de XDR de Microsoft Defender.

Acciones admitidas

Las siguientes acciones de Defender for Identity se pueden realizar directamente en las identidades locales:

  • Deshabilitar el usuario en Active Directory: esto impedirá temporalmente que un usuario inicie sesión en la red local. Esto puede ayudar a evitar que los usuarios en peligro se muevan lateralmente e intenten filtrar datos o poner en peligro aún más la red.

  • Restablecer la contraseña de usuario: solicita al usuario que cambie la contraseña en el inicio de sesión siguiente, lo que permite garantizar que no se usará esta cuenta para realizar más intentos de suplantación.

En función de los roles de Id. de Entra de Microsoft, es posible que vea una acción adicional de Id. de Microsoft Entra, como requerir que los usuarios inicien sesión de nuevo y confirmen que los usuarios están en peligro. Para obtener más información, consulte Corrección de riesgos y desbloqueo de usuarios.

Acciones de corrección en Defender for identity

Consulte también

Cuentas de acción de Microsoft Defender for Identity