Reparationsåtgärder i Microsoft Defender för identitet

Gäller för:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Med Microsoft Defender för identitet kan du svara komprometterade användare genom att inaktivera deras konton eller återställa lösenordet. När du har vidtagit åtgärder mot användare kan du kontrollera aktivitetsinformationen i åtgärdscentret.

Svarsåtgärderna för användare är tillgängliga direkt från användarsidan, panelen på användarsidan, sidan för avancerad jakt eller i åtgärdscentret.

Titta på följande video om du vill veta mer om reparationsåtgärder i Defender för identitet:


Förutsättningar

Om du vill utföra någon av de åtgärder som stöds måste du:

  • Konfigurera det konto som Microsoft Defender för identitet ska använda för att utföra dem. Som standard personifierar Microsoft Defender for Identity-sensorn som är installerad på en domänkontrollant LocalSystem-kontot för domänkontrollanten och utför ovanstående åtgärder. Du kan dock ändra det här standardbeteendet genom att konfigurera ett gMSA-konto och begränsa behörigheterna efter behov.

  • Loggas in på Microsoft Defender XDR till med relevanta behörigheter. För Defender för identitetsåtgärder behöver du en anpassad roll med behörigheter för svar (hantera). Mer information finns i Skapa anpassade roller med Microsoft Defender XDR Unified RBAC.

Åtgärder som stöds

Följande Defender for Identity-åtgärder kan utföras direkt på dina lokala identiteter:

  • Inaktivera användare i Active Directory: Detta förhindrar tillfälligt att en användare loggar in i det lokala nätverket. Detta kan hjälpa till att förhindra att komprometterade användare rör sig i sidled och försöker exfiltera data eller ytterligare kompromettera nätverket.

  • Återställ användarlösenord – Detta uppmanar användaren att ändra sitt lösenord vid nästa inloggning, vilket säkerställer att kontot inte kan användas för ytterligare personifieringsförsök.

Beroende på dina Microsoft Entra-ID-roller kan du se ytterligare Microsoft Entra-ID-åtgärder, till exempel att kräva att användarna loggar in igen och bekräftar att en användare har komprometterats. Mer information finns i Åtgärda risker och avblockera användare.

Reparationsåtgärder i Defender för identitet

Se även

Microsoft Defender för identitetsåtgärdskonton