Udostępnij za pośrednictwem


Akcje korygowania w usłudze Microsoft Defender for Identity

Dotyczy:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Usługa Microsoft Defender for Identity umożliwia reagowanie na naruszonych użytkowników przez wyłączenie kont lub zresetowanie hasła. Po wykonaniu akcji dla użytkowników możesz sprawdzić szczegóły działania w centrum akcji.

Akcje odpowiedzi dla użytkowników są dostępne bezpośrednio ze strony użytkownika, panelu bocznego użytkownika, strony zaawansowanego wyszukiwania zagrożeń lub w centrum akcji.

Obejrzyj poniższy film wideo, aby dowiedzieć się więcej o akcjach korygowania w usłudze Defender for Identity:


Wymagania wstępne

Aby wykonać dowolne z obsługiwanych akcji, należy wykonać następujące czynności:

  • Skonfiguruj konto, które będzie używane przez usługę Microsoft Defender for Identity do ich wykonania. Domyślnie czujnik usługi Microsoft Defender for Identity zainstalowany na kontrolerze domeny personifikuje konto LocalSystem kontrolera domeny i wykonuje powyższe akcje. Można jednak zmienić to domyślne zachowanie, konfigurując konto gMSA i określając zakres uprawnień zgodnie z potrzebami.

  • Zaloguj się do usługi Microsoft Defender XDR, aby uzyskać odpowiednie uprawnienia. W przypadku akcji usługi Defender for Identity potrzebna jest rola niestandardowa z uprawnieniami Odpowiedzi (zarządzanie). Aby uzyskać więcej informacji, zobacz Create custom roles with Microsoft Defender XDR Unified RBAC (Tworzenie ról niestandardowych za pomocą usługi Microsoft Defender XDR Unified RBAC).

Obsługiwane akcje

Następujące akcje usługi Defender for Identity można wykonywać bezpośrednio w tożsamościach lokalnych:

  • Wyłącz użytkownika w usłudze Active Directory: spowoduje to tymczasowe uniemożliwienie użytkownikowi zalogowania się do sieci lokalnej. Może to pomóc zapobiec przeniesieniu użytkowników z naruszonych danych i podjęciu próby eksfiltracji danych lub dalszego naruszenia zabezpieczeń sieci.

  • Resetowanie hasła użytkownika — spowoduje to wyświetlenie monitu użytkownika o zmianę hasła podczas następnego logowania, dzięki czemu nie można użyć tego konta do dalszych prób personifikacji.

W zależności od ról identyfikatora Entra firmy Microsoft możesz zobaczyć dodatkowe akcje identyfikatora Entra firmy Microsoft, takie jak wymaganie od użytkowników ponownego logowania się i potwierdzanie naruszenia zabezpieczeń użytkownika. Aby uzyskać więcej informacji, zobacz Korygowanie zagrożeń i odblokowywanie użytkowników.

Akcje korygowania w usłudze Defender for Identity

Zobacz też

Konta akcji usługi Microsoft Defender for Identity