適用於身分識別的 Microsoft Defender 中的補救動作
適用於:
- 適用於身分識別的 Microsoft Defender
- Microsoft Defender XDR
適用於身分識別的 Microsoft Defender 可讓您停用其帳戶或重設其密碼,以回應遭入侵的使用者。 對使用者採取動作之後,您可以檢查控制中心的活動詳細數據。
使用者上的回應動作可以直接從用戶頁面、用戶端面板、進階搜捕頁面,或在控制中心取得。
觀看下列影片,以深入瞭解適用於身分識別的Defender中的補救動作:
必要條件
若要執行任何 支援的動作,您需要:
設定 適用於身分識別的 Microsoft Defender 將用來執行它們的帳戶。 根據預設,安裝在域控制器上的 適用於身分識別的 Microsoft Defender 感測器會模擬域控制器的 LocalSystem 帳戶,並執行上述動作。 不過,您可以設定 gMSA 帳戶 並視需要設定許可權來變更此預設行為。
使用相關許可權登入 Microsoft Defender 全面偵測回應。 針對適用於身分識別的 Defender 動作,您需要具有 回應(管理)許可權的 自定義角色。 如需詳細資訊,請參閱使用 Microsoft Defender 全面偵測回應 Unified RBAC 建立自定義角色。
支援的動作
下列適用於身分識別的Defender動作可以直接在內部部署身分識別上執行:
停用 Active Directory 中的使用者:這會暫時防止使用者登入內部部署網路。 這有助於防止遭入侵的使用者橫向移動,並嘗試外泄數據或進一步入侵網路。
重設使用者密碼 – 這會提示使用者在下一次登入時變更其密碼,確保此帳戶無法用於進一步模擬嘗試。
視您的 Microsoft Entra ID 角色而定,您可能會看到其他 Microsoft Entra ID 動作,例如要求使用者再次登入,並確認使用者遭到入侵。 如需詳細資訊,請參閱 補救風險並解除封鎖使用者。