次の方法で共有

Microsoft Defender for Identityでの修復アクション

適用対象:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identityでは、アカウントを無効にするか、パスワードをリセットすることで、侵害されたユーザーに対応できます。 ユーザーに対してアクションを実行した後、アクション センターのアクティビティの詳細をチェックできます。

ユーザーに対する応答アクションは、ユーザー ページ、ユーザー側パネル、高度なハンティング ページ、またはアクション センターから直接使用できます。

Defender for Identity での修復アクションの詳細については、次のビデオをご覧ください。


前提条件

サポートされているアクションのいずれかを実行するには、次の操作を行う必要があります。

  • 実行に使用するアカウントMicrosoft Defender for Identity構成します。 既定では、ドメイン コントローラーにインストールされているMicrosoft Defender for Identity センサーは、ドメイン コントローラーの LocalSystem アカウントを偽装し、上記のアクションを実行します。 ただし、 gMSA アカウントを設定 し、必要に応じてアクセス許可のスコープを設定することで、この既定の動作を変更できます。

  • 関連するアクセス許可を持つ Microsoft Defender XDR にサインインします。 Defender for Identity アクションの場合は、 応答 (管理) アクセス許可を持つカスタム ロールが必要です。 詳細については、「Microsoft Defender XDR統合 RBAC を使用してカスタム ロールを作成する」を参照してください。

サポートされているアクション

ID に対して次の Defender for Identity アクションを実行できます。

  • Active Directory でユーザーを無効にする - これにより、ユーザーがオンプレミス ネットワークに一時的にサインインできなくなります。 これにより、侵害されたユーザーが横方向に移動し、データを流出させたり、ネットワークをさらに侵害したりするのを防ぐことができます。

  • ユーザー パスワードのリセット - これにより、次回のログオン時にパスワードを変更するようにユーザーに求められます。これにより、このアカウントを使用して権限借用の試行を行うことはできません。

  • [ユーザーの侵害をマーク する] - ユーザーのリスク レベルが [高] に設定されています。

  • Entra IDでのユーザーの一時停止 - 新しいサインインとクラウド リソースへのアクセスをブロックします。

  • ユーザーに再度サインインを要求 する - ユーザーのアクティブなセッションを取り消します。

  • Okta でのユーザーの一時停止 - ユーザー アカウントを一時的に無効にします。 このアクションは、正当なユーザー アカウントが侵害され、無効にする必要がある場合に使用できます。

  • [Okta でユーザーを非アクティブ化 する] - このアクションは、不正な悪意のあるアカウントが検出されたときに使用して、アカウントを完全に非アクティブ化できます。

Microsoft Entra IDロールによっては、ユーザーに再度サインインを要求し、ユーザーが侵害されたことを確認するなど、追加のMicrosoft Entra IDアクションが表示される場合があります。 詳細については、「リスクの 修復とユーザーのブロック解除」を参照してください。

役割とアクセス許可

アクション XDR RBAC のアクセス許可
ユーザーの侵害をマークする - グローバル管理者
- セキュリティ管理者
Entra IDでユーザーを一時停止する - グローバル管理者
ユーザーに再度サインインを要求する - グローバル管理者
Active Directory でユーザーを無効または有効にする 「Microsoft Defender XDRで Defender for Identity に必要なアクセス許可」を参照してください
Active Directory でパスワードリセットを強制する 「Microsoft Defender XDRで Defender for Identity に必要なアクセス許可」を参照してください
Okta でユーザーを一時停止する 応答 (管理) または次のいずれかのMicrosoft Entraロールのアクセス許可で定義されたカスタム ロール。
- セキュリティオペレーター
- セキュリティ管理者
- グローバル管理者
Okta でユーザーを非アクティブ化する 応答 (管理) または次のいずれかのMicrosoft Entraロールのアクセス許可で定義されたカスタム ロール。
- セキュリティオペレーター
- セキュリティ管理者
- グローバル管理者

Defender for Identity の修復アクション

関連項目

アクション アカウントをMicrosoft Defender for Identityする