Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
- Microsoft Defender per identità
- Microsoft Defender XDR
Microsoft Defender per identità consente di rispondere agli utenti compromessi disabilitando gli account o reimpostando la password. Dopo aver eseguita un'azione sugli utenti, è possibile controllare i dettagli dell'attività nel centro notifiche.
Le azioni di risposta sugli utenti sono disponibili direttamente dalla pagina utente, dal pannello lato utente, dalla pagina di ricerca avanzata o dal centro notifiche.
Guardare il video seguente per altre informazioni sulle azioni di correzione in Defender per identità:
Prerequisiti
Per eseguire una delle azioni supportate, è necessario:
Configurare l'account che Microsoft Defender per identità userà per eseguirli. Per impostazione predefinita, il sensore Microsoft Defender per identità installato in un controller di dominio rappresenta l'account LocalSystem del controller di dominio ed esegue le azioni precedenti. Tuttavia, è possibile modificare questo comportamento predefinito configurando un account gMSA e definire l'ambito delle autorizzazioni in base alle esigenze.
Accedere a Microsoft Defender XDR a con le autorizzazioni pertinenti. Per le azioni di Defender per identità, è necessario un ruolo personalizzato con autorizzazioni di risposta (gestione). Per altre informazioni, vedere Creare ruoli personalizzati con Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.
Azioni supportate
Le azioni di Defender per identità seguenti possono essere eseguite sulle identità:
Disabilitare l'utente in Active Directory : ciò impedisce temporaneamente a un utente di accedere alla rete locale. Ciò consente di evitare che gli utenti compromessi si spostino lateralmente e tentino di esfiltrare dati o compromettono ulteriormente la rete.
Reimpostare la password utente : richiede all'utente di modificare la password all'accesso successivo, assicurandosi che questo account non possa essere usato per ulteriori tentativi di rappresentazione.
Contrassegna l'utente compromesso : il livello di rischio dell'utente è impostato su Alto.
Sospendi utente in Entra ID- Blocca nuovi accessi e accesso alle risorse cloud.
Richiedi all'utente di eseguire di nuovo l'accesso : revocare le sessioni attive di un utente.
Sospendi utente in Okta : disabilita temporaneamente un account utente. Questa azione può essere usata quando è stato rilevato che un account utente legittimo è stato compromesso e deve essere disabilitato.
Disattiva utente in Okta : questa azione può essere usata quando è stato rilevato un account dannoso non legittimo per disattivare l'account in modo permanente.
A seconda dei ruoli Microsoft Entra ID, è possibile che vengano visualizzate altre azioni di Microsoft Entra ID, ad esempio richiedere agli utenti di eseguire di nuovo l'accesso e confermare che un utente è compromesso. Per altre informazioni, vedere Correggere i rischi e sbloccare gli utenti.
Ruoli e Autorizzazioni
| Azione | Autorizzazioni per il controllo degli accessi in base al ruolo XDR |
|---|---|
| Contrassegnare l'utente compromesso | - Amministratore globale - Amministratore della sicurezza |
| Sospendi utente in Entra ID | - Amministratore globale |
| Richiedi all'utente di eseguire di nuovo l'accesso | - Amministratore globale |
| Disabilitare/abilitare l'utente in Active Directory | Vedere Autorizzazioni necessarie Defender per identità in Microsoft Defender XDR |
| Forzare la reimpostazione della password in Active Directory | Vedere Autorizzazioni necessarie Defender per identità in Microsoft Defender XDR |
| Sospendere l'utente in Okta | Un ruolo personalizzato definito con autorizzazioni per Response (manage) o uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza - Amministratore della sicurezza - Amministratore globale |
| Disattivare l'utente in Okta | Un ruolo personalizzato definito con autorizzazioni per Response (manage) o uno dei ruoli di Microsoft Entra seguenti: - Operatore di sicurezza - Amministratore della sicurezza - Amministratore globale |
Video correlati
Azioni di correzione in Defender per identità