Действия по исправлению в Microsoft Defender для удостоверений

  • Статья

Относится к:

  • Microsoft Defender для удостоверений
  • Microsoft Defender XDR

Microsoft Defender для удостоверений позволяет реагировать на скомпрометированных пользователей, отключив учетные записи или сбросив пароль. После принятия действий для пользователей можно проверить сведения о действиях в центре уведомлений.

Действия ответа для пользователей доступны непосредственно на странице пользователя, на боковой панели пользователя, на странице расширенной охоты или в центре уведомлений.

Просмотрите следующее видео, чтобы узнать больше о действиях по исправлению в Defender для удостоверений:


Необходимые компоненты

Чтобы выполнить любые поддерживаемые действия, необходимо выполнить следующие действия:

  • Настройте учетную запись, которая будет использоваться для выполнения Microsoft Defender для удостоверений. По умолчанию датчик Microsoft Defender для удостоверений, установленный на контроллере домена, будет олицетворять учетную запись LocalSystem контроллера домена и выполнять указанные выше действия. Однако это поведение по умолчанию можно изменить, настроив учетную запись gMSA и указав необходимые разрешения.

  • Войдите в XDR в Microsoft Defender с соответствующими разрешениями. Для действий Defender для удостоверений вам потребуется настраиваемая роль с разрешениями ответа (управление). Дополнительные сведения см. в статье "Создание настраиваемых ролей с помощью единого RBAC в Microsoft Defender XDR".

Поддерживаемые действия

Следующие действия Defender для удостоверений можно выполнять непосредственно на локальных удостоверениях:

  • Отключить пользователя в Active Directory: это временно не позволит пользователю войти в локальную сеть. Это может помочь предотвратить перемещение скомпрометированных пользователей в боковом режиме и попытке эксфильтрации данных или дальнейшего компрометации сети.

  • Сброс пароля пользователя. Это предложит пользователю изменить пароль на следующем входе, гарантируя, что эта учетная запись не может использоваться для дальнейших попыток олицетворения.

В зависимости от ролей идентификатора Microsoft Entra могут отображаться дополнительные действия идентификатора Microsoft Entra, такие как требование повторного входа пользователей и подтверждение того, что пользователь скомпрометирован. Дополнительные сведения см. в разделе "Устранение рисков и разблокировка пользователей".

Действия по исправлению в Defender для удостоверений

См. также

учетные записи действий Microsoft Defender для удостоверений