Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Van toepassing op:
- Microsoft Defender for Identity
- Microsoft Defender XDR
Microsoft Defender for Identity kunt u reageren op gecompromitteerde gebruikers door hun accounts uit te schakelen of hun wachtwoord opnieuw in te stellen. Nadat u actie hebt ondernomen voor gebruikers, kunt u de activiteitsgegevens controleren in het actiecentrum.
De antwoordacties voor gebruikers zijn rechtstreeks beschikbaar vanaf de gebruikerspagina, het deelvenster aan de gebruikerszijde, de geavanceerde opsporingspagina of in het actiecentrum.
Bekijk de volgende video voor meer informatie over herstelacties in Defender for Identity:
Vereisten
Als u een van de ondersteunde acties wilt uitvoeren, moet u het volgende doen:
Configureer het account dat Microsoft Defender for Identity gebruikt om deze uit te voeren. De Microsoft Defender for Identity sensor die op een domeincontroller is geïnstalleerd, imiteert standaard het LocalSystem-account van de domeincontroller en voert de bovenstaande acties uit. U kunt dit standaardgedrag echter wijzigen door een gMSA-account in te stellen en de machtigingen naar behoefte in te stellen.
U bent aangemeld bij Microsoft Defender XDR met relevante machtigingen. Voor Defender for Identity-acties hebt u een aangepaste rol met antwoordmachtigingen (beheren) nodig. Zie Aangepaste rollen maken met Microsoft Defender XDR Unified RBAC voor meer informatie.
Ondersteunde acties
De volgende Defender for Identity-acties kunnen worden uitgevoerd op identiteiten:
| Herstelactie | Beschrijving | Bereik |
|---|---|---|
| Uitschakelen | U kunt ervoor kiezen om alle accounts uit te schakelen die zijn gekoppeld aan een identiteit of slechts één van deze accounts. Het uitschakelen van een identiteit voorkomt aanmelding en toegang tot netwerkresources totdat de accounts opnieuw worden ingeschakeld. Met deze actie worden het identiteitsprofiel of de bijbehorende gegevens, zoals documenten, agenda-gebeurtenissen of e-mailberichten, niet verwijderd. | Active Directory, Microsoft Entra ID en Okta |
| Inschakelen | Hiermee schakelt u accounts die eerder waren uitgeschakeld opnieuw in voor de geselecteerde identiteit. | Active Directory, Microsoft Entra ID en Okta |
| Sessie intrekken | De actieve sessie van een identiteit intrekken. | Microsoft Entra ID en Okta |
| Markeren als gecompromitteerd | Markeert alle accounts die zijn gekoppeld aan de geselecteerde identiteit als gecompromitteerd in Microsoft Entra ID. | Microsoft Entra ID |
| Wachtwoordwijziging afdwingen | Een wachtwoordwijziging afdwingen voor een of meer accounts die zijn gekoppeld aan de geselecteerde identiteit. Hiermee wordt de identiteit gevraagd het wachtwoord te wijzigen bij de volgende aanmelding, zodat dit account niet kan worden gebruikt voor verdere imitatiepogingen. | Active Directory |
| Deactiveren | Deze actie kan worden gebruikt wanneer een niet-legitiem schadelijk account is gedetecteerd, om het account permanent te deactiveren | Okta |
| Accountrisico instellen op Hoog/Gemiddeld/Laag | Stel de score voor accountrisico's in op een van de gedefinieerde niveaus. Deze actie is alleen beschikbaar als de functie Risicoscore is ingeschakeld | Okta |
Afhankelijk van uw Microsoft Entra ID rollen ziet u mogelijk aanvullende Microsoft Entra ID acties, zoals gebruikers verplichten zich opnieuw aan te melden en te bevestigen dat een gebruiker is gehackt. Zie Risico's oplossen en gebruikers deblokkeren voor meer informatie.
Rollen en Machtigingen
| Herstelactie | Active Directory | Microsoft Entra ID | Okta |
|---|---|---|---|
| Uitschakelen | Raadpleeg Vereiste machtigingen Defender for Identity in Microsoft Defender XDR | Microsoft Entra rollen: - Globale beheerder - Gebruikersbeheerder - Verificatiebeheerder - Beheerder van bevoegde verificatie - Adreslijstschrijvers |
Een aangepaste rol die is gedefinieerd met machtigingen voor Antwoord (beheren) of een van de volgende Microsoft Entra rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
| Inschakelen | Raadpleeg Vereiste machtigingen Defender for Identity in Microsoft Defender XDR | Microsoft Entra rollen: - Globale beheerder - Gebruikersbeheerder - Verificatiebeheerder - Beheerder van bevoegde verificatie - Adreslijstschrijvers |
Een aangepaste rol die is gedefinieerd met machtigingen voor Antwoord (beheren) of een van de volgende Microsoft Entra rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
| Sessie intrekken | N\B | Microsoft Entra rollen: - Globale beheerder - Gebruikersbeheerder - Verificatiebeheerder - Beheerder van bevoegde verificatie - Adreslijstschrijvers - Helpdeskbeheerder |
Een aangepaste rol die is gedefinieerd met machtigingen voor Antwoord (beheren) of een van de volgende Microsoft Entra rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
| Markeren als gecompromitteerd | N\B | Microsoft Entra rollen: - Globale beheerder -Beveiligingsbeheerder - Beveiligingsoperator |
N.v.t. |
| Wachtwoordwijziging afdwingen | Raadpleeg Vereiste machtigingen Defender for Identity in Microsoft Defender XDR | N\B | N\B |
| Deactiveren | N\B | N\B | Een aangepaste rol die is gedefinieerd met machtigingen voor Antwoord (beheren) of een van de volgende Microsoft Entra rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
| Stel identiteitsrisico in op Hoog/Gemiddeld/Laag | N\B | N\B | Een aangepaste rol die is gedefinieerd met machtigingen voor antwoord (beheren) of een van de volgende Microsoft Entra rollen: - Beveiligingsoperator - Beveiligingsbeheerder - Globale beheerder |
Opmerking
Er gelden enkele beperkingen voor Microsoft Entra ID bij het uitvoeren van bepaalde acties op andere rollen. Zie de documentatie voor Graph API voor meer informatie.
Gerelateerde video's
Herstelacties in Defender for Identity