Ações de correção no Microsoft Defender para Identidade

  • Artigo

Aplica-se a:

  • Microsoft Defender para Identidade
  • Microsoft Defender XDR

O Microsoft Defender para Identidade permite que você responda a usuários comprometidos desabilitando suas contas ou redefinindo as senhas. Depois de executar a ação nos usuários, você pode verificar os detalhes da atividade na Central de Ações.

As ações de resposta nos usuários estão disponíveis diretamente na página do usuário, no painel do lado do usuário, na página de busca avançada de ameaças ou na Central de Ações.

Assista ao vídeo a seguir para saber mais sobre ações de correção no Defender para Identidade:


Pré-requisitos

Para executar uma das ações compatíveis, você precisa do seguinte:

  • Configure a conta que o Microsoft Defender para Identidade usará para executá-las. Por padrão, o sensor do Microsoft Defender para Identidade instalado em um controlador de domínio se passará pela conta LocalSystem do controlador de domínio e executará as ações acima. No entanto, você pode alterar esse comportamento padrão configurando uma conta gMSA e definindo o escopo das permissões conforme necessário.

  • Esteja conectado ao Microsoft Defender XDR com permissões relevantes. Para ações do Defender for Identity, você precisará de uma função personalizada com permissões de Resposta (gerenciar). Para obter mais informações, consulte Criar funções personalizadas com o Microsoft Defender XDR Unified RBAC.

Ações com suporte

As seguintes ações do Defender for Identity podem ser executadas diretamente em suas identidades locais:

  • Desabilitar usuário no Active Directory: isso impedirá temporariamente que um usuário entre na rede local. Isso pode ajudar a impedir que usuários comprometidos se movam lateralmente e tentem exfiltrar dados ou comprometer ainda mais a rede.

  • Redefinir a senha do usuário: solicita que o usuário altere a senha no próximo logon, garantindo que essa conta não possa ser usada para novas tentativas de usurpação de identidade.

Dependendo de suas funções de ID do Microsoft Entra, você poderá ver ações adicionais de ID do Microsoft Entra, como exigir que os usuários entrem novamente e confirmar um usuário como comprometido. Para obter mais informações, consulte Corrigir riscos e desbloquear usuários.

Ações de correção no Defender para Identidade

Confira também

Contas de ação do Microsoft Defender para Identidade