Freigeben über

Wartungsaktionen in Microsoft Defender for Identity

  • Artikel

Gilt für:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

mit Microsoft Defender for Identity können Sie auf kompromittierte Benutzer reagieren, indem Sie deren Konten deaktivieren oder ihr Kennwort zurücksetzen. Nachdem Sie Aktionen für Benutzer ergriffen haben, können Sie die Aktivitätsdetails im Info-Center überprüfen.

Die Antwortaktionen für Benutzer sind direkt auf der Benutzerseite, im Benutzerseitenbereich, auf der Seite für die erweiterte Suche oder im Info-Center verfügbar.

Sehen Sie sich das folgende Video an, um mehr über Wartungsaktionen in Defender for Identity zu erfahren:


Voraussetzungen

Um eine der unterstützten Aktionen auszuführen, müssen Sie:

  • Konfigurieren Sie das Konto, das Microsoft Defender for Identity verwendet, um sie auszuführen. Standardmäßig nimmt der auf einem Domänencontroller installierte Microsoft Defender for Identity Sensor die Identität des LocalSystem-Kontos des Domänencontrollers an und führt die oben genannten Aktionen aus. Sie können dieses Standardverhalten jedoch ändern, indem Sie ein gMSA-Konto einrichten und die Berechtigungen nach Bedarf festlegen.

  • Melden Sie sich bei Microsoft Defender XDR mit relevanten Berechtigungen an. Für Defender for Identity-Aktionen benötigen Sie eine benutzerdefinierte Rolle mit Antwortberechtigungen (Verwalten). Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Rollen mit Microsoft Defender XDR unified RBAC.

Unterstützte Aktionen

Die folgenden Defender for Identity-Aktionen können direkt für Ihre lokalen Identitäten ausgeführt werden:

  • Benutzer in Active Directory deaktivieren: Dadurch wird vorübergehend verhindert, dass sich ein Benutzer beim lokalen Netzwerk anmeldet. Dadurch kann verhindert werden, dass sich kompromittierte Benutzer seitlich bewegen und versuchen, Daten zu exfiltrieren oder das Netzwerk weiter zu kompromittieren.

  • Zurücksetzen des Benutzerkennworts : Dadurch wird der Benutzer aufgefordert, sein Kennwort bei der nächsten Anmeldung zu ändern, um sicherzustellen, dass dieses Konto nicht für weitere Identitätswechselversuche verwendet werden kann.

Abhängig von Ihren Microsoft Entra ID Rollen werden möglicherweise zusätzliche Microsoft Entra ID Aktionen angezeigt, z. B. dass benutzer sich erneut anmelden und ein Benutzer als kompromittiert bestätigt wird. Weitere Informationen finden Sie unter Beheben von Risiken und Aufheben der Blockierung von Benutzern.

Korrekturaktionen in Defender for Identity

Siehe auch

Microsoft Defender for Identity-Aktionskonten