Действия по исправлению в Microsoft Defender для удостоверений
Относится к:
- Microsoft Defender для удостоверений
- Microsoft Defender XDR
Microsoft Defender для удостоверений позволяет реагировать на скомпрометированных пользователей, отключив учетные записи или сбросив пароль. После принятия действий для пользователей можно проверить сведения о действиях в центре уведомлений.
Действия ответа для пользователей доступны непосредственно на странице пользователя, на боковой панели пользователя, на странице расширенной охоты или в центре уведомлений.
Просмотрите следующее видео, чтобы узнать больше о действиях по исправлению в Defender для удостоверений:
Необходимые компоненты
Чтобы выполнить любые поддерживаемые действия, необходимо выполнить следующие действия:
Настройте учетную запись, которая будет использоваться для выполнения Microsoft Defender для удостоверений. По умолчанию датчик Microsoft Defender для удостоверений, установленный на контроллере домена, будет олицетворять учетную запись LocalSystem контроллера домена и выполнять указанные выше действия. Однако это поведение по умолчанию можно изменить, настроив учетную запись gMSA и указав необходимые разрешения.
Войдите в XDR в Microsoft Defender с соответствующими разрешениями. Для действий Defender для удостоверений вам потребуется настраиваемая роль с разрешениями ответа (управление). Дополнительные сведения см. в статье "Создание настраиваемых ролей с помощью единого RBAC в Microsoft Defender XDR".
Поддерживаемые действия
Следующие действия Defender для удостоверений можно выполнять непосредственно на локальных удостоверениях:
Отключить пользователя в Active Directory: это временно не позволит пользователю войти в локальную сеть. Эта мера может помочь предотвратить горизонтальное перемещение скомпрометированных пользователей и попытку кражи данных или дальнейшей компрометации сети.
Сброс пароля пользователя. Это предложит пользователю изменить пароль на следующем входе, гарантируя, что эта учетная запись не может использоваться для дальнейших попыток олицетворения.
В зависимости от ролей идентификатора Microsoft Entra могут отображаться дополнительные действия идентификатора Microsoft Entra, такие как требование повторного входа пользователей и подтверждение того, что пользователь скомпрометирован. Дополнительные сведения см. в разделе "Устранение рисков и разблокировка пользователей".
Связанные видео
Действия по исправлению в Defender для удостоверений
См. также
учетные записи действий Microsoft Defender для удостоверений