Condividi tramite

Azioni di correzione in Microsoft Defender per identità

  • Articolo

Si applica a:

  • Microsoft Defender per identità
  • Microsoft Defender XDR

Microsoft Defender per identità consente di rispondere agli utenti compromessi disabilitando gli account o reimpostando la password. Dopo aver eseguita un'azione sugli utenti, è possibile controllare i dettagli dell'attività nel centro notifiche.

Le azioni di risposta sugli utenti sono disponibili direttamente dalla pagina utente, dal pannello lato utente, dalla pagina di ricerca avanzata o dal centro notifiche.

Guardare il video seguente per altre informazioni sulle azioni di correzione in Defender per identità:


Prerequisiti

Per eseguire una delle azioni supportate, è necessario:

  • Configurare l'account che Microsoft Defender per identità userà per eseguirli. Per impostazione predefinita, il sensore Microsoft Defender per identità installato in un controller di dominio rappresenta l'account LocalSystem del controller di dominio ed esegue le azioni precedenti. Tuttavia, è possibile modificare questo comportamento predefinito configurando un account gMSA e definire l'ambito delle autorizzazioni in base alle esigenze.

  • Accedere a Microsoft Defender XDR a con le autorizzazioni pertinenti. Per le azioni di Defender per identità, è necessario un ruolo personalizzato con autorizzazioni di risposta (gestione). Per altre informazioni, vedere Creare ruoli personalizzati con Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.

Azioni supportate

Le seguenti azioni di Defender per identità possono essere eseguite direttamente nelle identità locali:

  • Disabilitare l'utente in Active Directory: ciò impedirà temporaneamente a un utente di accedere alla rete locale. Ciò consente di evitare che gli utenti compromessi si spostino lateralmente e tentino di esfiltrare dati o compromettono ulteriormente la rete.

  • Reimposta la password utente : verrà richiesto all'utente di modificare la password all'accesso successivo, assicurandosi che questo account non possa essere usato per ulteriori tentativi di rappresentazione.

A seconda dei ruoli Microsoft Entra ID, è possibile che vengano visualizzate altre azioni di Microsoft Entra ID, ad esempio richiedere agli utenti di eseguire di nuovo l'accesso e confermare che un utente è compromesso. Per altre informazioni, vedere Correggere i rischi e sbloccare gli utenti.

Azioni di correzione in Defender per identità

Vedere anche

account azione Microsoft Defender per identità