在 Microsoft Defender 全面偵測回應 下載並排程適用于身分識別的 Defender 報告 (預覽)
Microsoft Defender 全面偵測回應提供適用于身分識別的 Defender 報告,您可以視需要產生或設定為透過電子郵件定期傳送。
適用于身分識別的 Access Defender 報告Microsoft Defender 全面偵測回應
若要在 Microsoft Defender 全面偵測回應 中存取適用于身分識別的 Defender 報表,請從左側的導覽功能表中,選取 [報表 > 身分識別 > 報告管理]。
可用的報告包括:
報表名稱 | 描述 |
---|---|
摘要 | 呈現系統狀態的儀表板,包括: - 摘要 :偵測到的網路活動摘要 - 開啟健康情況問題 :列出您應該處理之身分識別健康情況問題的 Defender。 可疑的活動和健康情況問題會依類型列出。 |
修改敏感性群組 | 每次對敏感性群組進行修改時列出,例如系統管理員或手動標記的帳戶或群組。 如果您使用適用于身分識別的 Defender 獨立感應器,請確定 事件會從網域控制站轉送至獨立感應器 ,以接收有關敏感性群組的完整報告。 |
以純文字公開的密碼 | 列出 Defender 偵測到的所有來源電腦和帳戶密碼,以純文字傳送身分識別。 注意 :某些服務會使用 LDAP 不安全的通訊協定,以純文字傳送帳號憑證。 這甚至可能發生于敏感性帳戶。 監視網路流量的攻擊者可以攔截這些認證,然後針對惡意用途重複使用這些認證。 |
敏感性帳戶的橫向移動路徑 | 針對選取的報表期間,列出透過橫向移動路徑公開的敏感性帳戶。 如需詳細資訊,請參閱 橫向移動路徑 。 |
依需求產生報告
若要視需要產生報告:
在Microsoft Defender 全面偵測回應中,選取 [ 報表 > 身分識別 > 報告管理]。
在 [ 身分識別報表 ] 頁面上,選取報表,然後選取 [ 下載 ]。
在右側顯示的 [下載報表] 窗格中,定義報表的時段,然後選取 [ 下載報表 ]。
您的報表會由瀏覽器下載,您可以在其中開啟或儲存報表。 下載的報告最多包含 100,000 個數據列。
依電子郵件排程報表
若要定義要透過電子郵件傳送給您之報表的排程:
在Microsoft Defender 全面偵測回應中,選取 [ 報表 > 身分識別 > 報告管理]。
在 [ 身分識別報表] 頁面上,選取報表,然後選取 [ 排程報表 ]。
使用精靈來定義下列詳細資料:
在 [ 設定排程] 頁面上,定義您要傳送報表的條件,以及您想要傳送的時間。
您的報告會根據您的Microsoft Defender 全面偵測回應時區設定( 本機 或 UTC) 傳送。 如需詳細資訊,請參閱 設定Microsoft Defender 全面偵測回應 的時區。
在 [ 收件者] 頁面上,輸入並新增您想要接收報表之任何人的電子郵件地址。 選取 [下一步 ] 以完成排程。
[ 完成] 頁面會顯示確認訊息。 選取 [關閉] 即可關閉精靈。
設定排程之後,請重複此程式以編輯排程的時間或收件者。
移除所有排程報表
若要移除排程的報表,並停止傳送它:
在Microsoft Defender 全面偵測回應中,選取 [ 報表 > 身分識別 > 報告管理]。
在 [ 身分識別報告 ] 頁面上,選取您要停止傳送的報表,然後選取 [ 重設排程 ]。
在確認訊息中,選取 [ 重設 ] 以完成程式。