Compartilhar via

Ações de correção no Microsoft Defender para Identidade

  • Artigo

Aplica-se a:

  • Microsoft Defender para Identidade
  • Microsoft Defender XDR

O Microsoft Defender para Identidade permite que você responda a usuários comprometidos desabilitando suas contas ou redefinindo as senhas. Depois de executar a ação nos usuários, você pode verificar os detalhes da atividade na Central de Ações.

As ações de resposta nos usuários estão disponíveis diretamente na página do usuário, no painel do lado do usuário, na página de busca avançada de ameaças ou na Central de Ações.

Assista ao vídeo a seguir para saber mais sobre ações de correção no Defender para Identidade:


Pré-requisitos

Para executar uma das ações compatíveis, você precisa do seguinte:

  • Configure a conta que o Microsoft Defender para Identidade usará para executá-las. Por padrão, o sensor do Microsoft Defender para Identidade instalado em um controlador de domínio se passará pela conta LocalSystem do controlador de domínio e executará as ações acima. No entanto, você pode alterar esse comportamento padrão configurando uma conta gMSA e definindo o escopo das permissões conforme necessário.

  • Estar conectado ao Microsoft Defender XDR com permissões relevantes. Para ações do Defender para Identidade, será necessário ter uma função personalizada com permissões de Resposta (gerenciar). Para obter mais informações, consulte Criar funções personalizadas com o RBAC unificado do Microsoft Defender XDR.

Ações com suporte

As seguintes ações do Defender para Identidade podem ser executadas diretamente em suas identidades locais:

  • Desabilitar usuário no Active Directory: isso impedirá temporariamente que um usuário entre na rede local. Isso pode ajudar a impedir que usuários comprometidos se movam lateralmente e tentem exfiltrar dados ou comprometer ainda mais a rede.

  • Redefinir a senha do usuário: solicita que o usuário altere a senha no próximo logon, garantindo que essa conta não possa ser usada para novas tentativas de usurpação de identidade.

Dependendo de suas funções do Microsoft Entra ID, você pode ver ações adicionais do Microsoft Entra ID, como exigir que os usuários entrem novamente e confirmar que um usuário está comprometido. Para obter mais informações, confira Corrigir riscos e desbloquear usuários.

Ações de correção no Defender para Identidade

Confira também

Contas de ação do Microsoft Defender para Identidade