Bagikan melalui

Tindakan remediasi dalam Microsoft Defender untuk Identitas

  • Artikel

Berlaku untuk:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender untuk Identitas memungkinkan Anda merespons pengguna yang disusupi dengan menonaktifkan akun mereka atau mengatur ulang kata sandi mereka. Setelah mengambil tindakan pada pengguna, Anda dapat memeriksa detail aktivitas di pusat tindakan.

Tindakan respons pada pengguna tersedia langsung dari halaman pengguna, panel sisi pengguna, halaman berburu tingkat lanjut, atau di pusat tindakan.

Tonton video berikut untuk mempelajari selengkapnya tentang tindakan remediasi di Defender for Identity:


Prasyarat

Untuk melakukan salah satu tindakan yang didukung, Anda perlu:

  • Konfigurasikan akun yang akan digunakan Microsoft Defender untuk Identitas untuk melakukannya. Secara default, sensor Microsoft Defender untuk Identitas yang diinstal pada pengendali domain akan meniru akun LocalSystem pengendali domain dan melakukan tindakan di atas. Namun, Anda dapat mengubah perilaku default ini dengan menyiapkan akun gMSA dan mencakup izin sesuai kebutuhan Anda.

  • Masuk ke Microsoft Defender XDR ke dengan izin yang relevan. Untuk tindakan Defender for Identity, Anda memerlukan peran kustom dengan izin Respons (kelola). Untuk informasi selengkapnya, lihat Membuat peran kustom dengan Microsoft Defender XDR Unified RBAC.

Tindakan yang didukung

Tindakan Defender for Identity berikut dapat dilakukan langsung pada identitas lokal Anda:

  • Menonaktifkan pengguna di Direktori Aktif: Ini akan mencegah pengguna untuk sementara masuk ke jaringan lokal. Ini dapat membantu mencegah pengguna yang disusupi bergerak secara lateral dan mencoba menyelundupkan data atau lebih menyusupi jaringan.

  • Atur ulang kata sandi pengguna - Ini akan meminta pengguna untuk mengubah kata sandi mereka pada masuk berikutnya, memastikan bahwa akun ini tidak dapat digunakan untuk upaya peniruan lebih lanjut.

Bergantung pada peran ID Microsoft Entra Anda, Anda mungkin melihat tindakan ID Microsoft Entra tambahan, seperti mengharuskan pengguna untuk masuk lagi dan mengonfirmasi pengguna sebagai disusupi. Untuk informasi selengkapnya, lihat Memulihkan risiko dan membuka blokir pengguna.

Tindakan remediasi di Defender untuk Identitas

Lihat juga

akun tindakan Microsoft Defender untuk Identitas