在 Microsoft Defender XDR(预览版)中下载和计划 Defender for Identity 报告
Microsoft Defender XDR 提供诸多 Defender for Identity 报告,可按需生成或配置为通过电子邮件定期发送。
在 Microsoft Defender XDR 中访问 Defender for Identity 报告
要在 Microsoft Defender XDR 中访问 Defender for Identity 报告,从左侧的导航菜单中,选择报告>标识>报告管理。
可用报告包括:
| 报表名称 | 说明 |
|---|---|
| 总结 | 显示系统状态的仪表板,包括: - 摘要:检测到的网络活动的摘要 - 打开运行状况问题:列出应注意的 Defender for Identity 运行状况问题。 可疑活动和运行状况问题按类型列出。 |
| 对敏感组的修改 | 列出对敏感组(例如管理员或手动标记的帐户或组)进行修改的时间。 如果使用 Defender for Identity 独立传感器,确保将事件从域控制器转发到独立传感器,以接收有关敏感组的完整报告。 |
| 以明文形式公开的密码 | 列出 Defender for Identity 检测到的、以明文形式发送的所有源计算机和帐户密码。 注意:某些服务使用 LDAP 不安全协议以纯文本形式发送帐户凭据。 这种情况甚至可以发生在敏感帐户中。 监视网络流量的攻击者可能会恶意捕获并重用这些凭据。 |
| 敏感帐户的横向移动路径 | 列出所选报告期通过横向移动路径公开的敏感帐户。 有关详细信息,请参阅横向移动路径。 |
按需生成报告
要按需生成报告:
在 Microsoft Defender XDR 中,选择报告>标识>报告管理。
在标识的报告页面上,选择报告,然后选择下载。
在右侧显示的“下载报告”窗格中,定义报告的时间段,然后选择下载报告。
报告由浏览器进行下载,可在其中打开或保存报告。 下载的报表最多包含 100,000 行。
通过电子邮件计划报告
要定义通过电子邮件发送给你的报告的计划:
在 Microsoft Defender XDR 中,选择报告>标识>报告管理。
在标识的报告页面上,选择报告,然后选择计划报告。
使用向导定义以下详细信息:
在设置计划页面上,定义发送报告时满足的条件以及报告发送时间。
报告根据 Microsoft Defender XDR 时区设置(本地或 UTC)进行发送。 有关详细信息,请参阅设置 Microsoft Defender XDR 的时区。
在收件人页面上,输入并添加要接收报告的任何人的电子邮件地址。 选择下一步完成计划。
完成页面中随即显示一条确认消息。 选择关闭以关闭向导。
在配置完计划后,重复此过程以编辑计划时间或收件人。
移除所有计划报告
要移除计划报告并阻止发送该报告:
在 Microsoft Defender XDR 中,选择报告>标识>报告管理。
在标识的报告页面上,选择要停止发送的报告,然后选择重置计划。
在确认消息中,选择重置完成该过程。