Partilhar via

Ações de remediação no Microsoft Defender para Identidade

  • Artigo

Aplica-se a:

  • Microsoft Defender para Identidade
  • Microsoft Defender XDR

Microsoft Defender para Identidade permite-lhe responder a utilizadores comprometidos ao desativar as respetivas contas ou repor a palavra-passe. Depois de tomar medidas sobre os utilizadores, pode verificar os detalhes da atividade no centro de ação.

As ações de resposta nos utilizadores estão disponíveis diretamente a partir da página do utilizador, do painel do lado do utilizador, da página de investigação avançada ou do centro de ação.

Veja o seguinte vídeo para saber mais sobre as ações de remediação no Defender para Identidade:


Pré-requisitos

Para efetuar qualquer uma das ações suportadas, tem de:

  • Configure a conta que Microsoft Defender para Identidade utilizará para efetuá-la. Por predefinição, o sensor Microsoft Defender para Identidade instalado num controlador de domínio representará a conta localSystem do controlador de domínio e executará as ações acima. No entanto, pode alterar este comportamento predefinido ao configurar uma conta gMSA e definir o âmbito das permissões conforme necessário.

  • Ter sessão iniciada no Microsoft Defender XDR com permissões relevantes. Para as ações do Defender para Identidade, precisará de uma função personalizada com permissões de Resposta (gerir ). Para obter mais informações, veja Criar funções personalizadas com Microsoft Defender XDR RBAC Unificado.

Ações suportadas

As seguintes ações do Defender para Identidade podem ser executadas diretamente nas suas identidades no local:

  • Desativar o utilizador no Active Directory: isto impedirá temporariamente um utilizador de iniciar sessão na rede no local. Isto pode ajudar a impedir que os utilizadores comprometidos se moam lateralmente e tentem exfiltrar dados ou comprometer ainda mais a rede.

  • Repor palavra-passe do utilizador – esta ação irá pedir ao utilizador para alterar a palavra-passe no próximo início de sessão, garantindo que esta conta não pode ser utilizada para mais tentativas de representação.

Consoante as suas funções de Microsoft Entra ID, poderá ver ações de Microsoft Entra ID adicionais, como exigir que os utilizadores iniciem sessão novamente e confirmar um utilizador como comprometido. Para obter mais informações, veja Remediar riscos e desbloquear utilizadores.

Ações de remediação no Defender para Identidade

Consulte também

Microsoft Defender para Identidade contas de ação