Ações de correção no Microsoft Defender for Identity

  • Artigo

Aplica-se a:

  • Microsoft Defender para Identidade
  • Microsoft Defender XDR

O Microsoft Defender for Identity permite que você responda a usuários comprometidos desativando suas contas ou redefinindo sua senha. Depois de executar ações nos usuários, você pode verificar os detalhes da atividade na central de ações.

As ações de resposta nos usuários estão disponíveis diretamente na página do usuário, no painel lateral do usuário, na página de caça avançada ou na central de ações.

Assista ao vídeo a seguir para saber mais sobre as ações de correção no Defender for Identity:


Pré-requisitos

Para executar qualquer uma das ações suportadas, você precisa:

  • Configure a conta que o Microsoft Defender for Identity usará para executá-los. Por padrão, o sensor Microsoft Defender for Identity instalado em um controlador de domínio representará a conta LocalSystem do controlador de domínio e executará as ações acima. No entanto, você pode alterar esse comportamento padrão configurando uma conta gMSA e definir o escopo das permissões conforme necessário.

  • Estar conectado ao Microsoft Defender XDR com permissões relevantes. Para ações do Defender for Identity, você precisará de uma função personalizada com permissões de Resposta (gerenciar). Para obter mais informações, consulte Criar funções personalizadas com o Microsoft Defender XDR Unified RBAC.

Ações suportadas

As seguintes ações do Defender for Identity podem ser executadas diretamente em suas identidades locais:

  • Desabilitar usuário no Ative Directory: isso impedirá temporariamente que um usuário entre na rede local. Isso pode ajudar a evitar que usuários comprometidos se movam lateralmente e tentem exfiltrar dados ou comprometer ainda mais a rede.

  • Redefinir senha de usuário – Isso solicitará que o usuário altere sua senha no próximo logon, garantindo que essa conta não possa ser usada para novas tentativas de falsificação de identidade.

Dependendo de suas funções de ID do Microsoft Entra, você poderá ver ações adicionais de ID do Microsoft Entra, como exigir que os usuários entrem novamente e confirmar que um usuário está comprometido. Para obter mais informações, consulte Remediar riscos e desbloquear usuários.

Ações de reparação no Defender de Identidade

Consulte também

Contas de ação do Microsoft Defender for Identity