Microsoft Defender for Identity 中的修正操作
适用于:
- Microsoft Defender for Identity
- Microsoft Defender XDR
Microsoft Defender for Identity 允许通过禁用帐户或重置密码对遭到入侵的用户作出响应。 对文件执行操作后,可以在操作中心查看活动详细信息。
可以直接在用户页面、用户端面板、高级搜寻页面或操作中心中找到对用户执行的响应操作。
观看以下视频,详细了解 Defender for Identity 中的修正操作:
先决条件
要执行任何受支持的操作,需要:
配置 Microsoft Defender for Identity 用于执行这些操作的帐户。 默认情况下,域控制器上安装的 Microsoft Defender for Identity 传感器将模拟域控制器的 LocalSystem 帐户并执行上述操作。 但是,可以通过设置 gMSA 帐户更改此默认行为并根据需要限定权限。
使用相关权限登录到 Microsoft Defender XDR。 对于 Defender for Identity 操作,需要具有响应(管理)权限的自定义角色。 有关详细信息,请参阅 使用 Microsoft Defender XDR Unified RBAC 创建自定义角色。
支持的操作
可以直接在本地标识上执行以下 Defender for Identity 操作:
禁用 Active Directory 中的用户:这会暂时阻止用户登录到本地网络。 此举有助于防止遭入侵用户横向移动并试图外泄数据或进一步入侵网络。
重置用户密码 - 这会提示用户在下一次登录时更改其密码,确保无法将此帐户用于进一步模拟尝试。
根据 Microsoft Entra ID 角色,你可能会看到其他 Microsoft Entra ID 操作,例如要求用户再次登录并确认用户遭到入侵。 有关详细信息,请参阅 修正风险并解除阻止用户。