Actions de correction dans Microsoft Defender pour Identity

  • Article

S’applique à :

  • Microsoft Defender pour Identity
  • Microsoft Defender XDR

Microsoft Defender pour Identity vous permet de répondre aux utilisateurs compromis en désactivant leurs comptes ou en réinitialisant leur mot de passe. Après avoir pris des mesures sur les utilisateurs, vous pouvez case activée sur les détails de l’activité dans le centre de notifications.

Les actions de réponse sur les utilisateurs sont disponibles directement à partir de la page utilisateur, du panneau latéral utilisateur, de la page de repérage avancée ou dans le centre de notifications.

Regardez la vidéo suivante pour en savoir plus sur les actions de correction dans Defender pour Identity :


Prérequis

Pour effectuer l’une des actions prises en charge, vous devez :

  • Configurez le compte que Microsoft Defender pour Identity utiliserez pour les effectuer. Par défaut, le capteur Microsoft Defender pour Identity installé sur un contrôleur de domaine emprunte l’identité du compte LocalSystem du contrôleur de domaine et effectue les actions ci-dessus. Toutefois, vous pouvez modifier ce comportement par défaut en configurant un compte gMSA et en définissant les autorisations comme vous en avez besoin.

  • Connectez-vous à Microsoft Defender XDR avec des autorisations pertinentes. Pour les actions Defender pour Identity, vous aurez besoin d’un rôle personnalisé avec des autorisations Response (gérer). Pour plus d’informations, consultez Créer des rôles personnalisés avec Microsoft Defender XDR Unified RBAC.

Actions prises en charge

Les actions Defender pour Identity suivantes peuvent être effectuées directement sur vos identités locales :

  • Désactiver l’utilisateur dans Active Directory : cela empêche temporairement un utilisateur de se connecter au réseau local. Cela peut empêcher les utilisateurs compromis de se déplacer ultérieurement et de tenter d’exfiltrer des données ou de compromettre davantage le réseau.

  • Réinitialiser le mot de passe de l’utilisateur : il invite l’utilisateur à modifier son mot de passe lors de l’ouverture de session suivante, ce qui garantit que ce compte ne peut pas être utilisé pour d’autres tentatives d’emprunt d’identité.

En fonction de vos rôles d’ID Microsoft Entra, vous pouvez voir d’autres actions d’ID Microsoft Entra, telles que l’obligation pour les utilisateurs de se reconnecter et de confirmer qu’ils sont compromis. Pour plus d’informations, consultez Corriger les risques et débloquer les utilisateurs.

Actions de correction dans Defender pour Identity

Voir aussi

comptes d’action Microsoft Defender pour Identity