Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
- Microsoft Defender para Identidade
- Microsoft Defender XDR
Microsoft Defender para Identidade permite-lhe responder a utilizadores comprometidos ao desativar as respetivas contas ou repor a palavra-passe. Depois de tomar medidas sobre os utilizadores, pode verificar os detalhes da atividade no centro de ação.
As ações de resposta nos utilizadores estão disponíveis diretamente a partir da página do utilizador, do painel do lado do utilizador, da página de investigação avançada ou do centro de ação.
Veja o seguinte vídeo para saber mais sobre as ações de remediação no Defender para Identidade:
Pré-requisitos
Para efetuar qualquer uma das ações suportadas, tem de:
Configure a conta que Microsoft Defender para Identidade utilizará para efetuá-la. Por predefinição, o sensor Microsoft Defender para Identidade instalado num controlador de domínio representará a conta localSystem do controlador de domínio e executará as ações acima. No entanto, pode alterar este comportamento predefinido ao configurar uma conta gMSA e definir o âmbito das permissões conforme necessário.
Ter sessão iniciada no Microsoft Defender XDR com permissões relevantes. Para as ações do Defender para Identidade, precisará de uma função personalizada com permissões de Resposta (gerir ). Para obter mais informações, veja Criar funções personalizadas com Microsoft Defender XDR RBAC Unificado.
Ações suportadas
As seguintes ações do Defender para Identidade podem ser executadas em Identidades:
| Ação de Remediação | Descrição | Âmbito |
|---|---|---|
| Desativar | Pode optar por desativar todas as contas associadas a uma identidade ou apenas uma delas. Desativar uma identidade impede o início de sessão e o acesso aos recursos de rede até que as contas sejam reativadas. Esta ação não elimina o perfil de identidade nem os dados associados, como documentos, eventos de calendário ou mensagens de e-mail. | Active Directory, Microsoft Entra ID e Okta |
| Ativar | Reativa as contas que foram anteriormente desativadas para a identidade selecionada. | Active Directory, Microsoft Entra ID e Okta |
| Revogar sessão | Revogar a sessão ativa de uma identidade. | Microsoft Entra ID e Okta |
| Marcar como comprometido | Marca todas as contas ligadas à identidade selecionada como comprometidas no Microsoft Entra ID. | Microsoft Entra ID |
| Reponha a palavra-passe | Repor uma palavra-passe para uma ou mais contas ligadas à identidade selecionada. Isto pede à identidade para alterar a palavra-passe no início de sessão seguinte, garantindo que esta conta não pode ser utilizada para novas tentativas de representação. | Active Directory |
| Desativar | Esta ação pode ser utilizada quando foi detetada uma conta maliciosa não legítima, para desativar permanentemente a conta | Okta |
| Definir o risco da conta como Alto/Médio/Baixo | Defina a classificação de risco da conta para um dos níveis definidos. Esta ação só está disponível se a funcionalidade Classificação de Riscos estiver ativada | Okta |
Consoante as suas funções de Microsoft Entra ID, poderá ver ações de Microsoft Entra ID adicionais, como exigir que os utilizadores iniciem sessão novamente e confirmar um utilizador como comprometido. Para obter mais informações, veja Remediar riscos e desbloquear utilizadores.
Funções e Permissões
| Ação de Remediação | Active Directory | Microsoft Entra ID | Okta |
|---|---|---|---|
| Desativar | Veja Permissões obrigatórias do Defender para Identidade no Microsoft Defender XDR | Funções de Microsoft Entra: - Administrador Global - Administrador de Utilizadores - Administrador de Autenticação - Administrador de Autenticação Privilegiada - Escritores de Diretórios |
Uma função personalizada definida com permissões para Resposta (gerir) ou uma das seguintes funções de Microsoft Entra: - Operador de Segurança - Administrador de Segurança - Administrador Global |
| Ativar | Veja Permissões obrigatórias do Defender para Identidade no Microsoft Defender XDR | Funções de Microsoft Entra: - Administrador Global - Administrador de Utilizadores - Administrador de Autenticação - Administrador de Autenticação Privilegiada - Escritores de Diretórios |
Uma função personalizada definida com permissões para Resposta (gerir) ou uma das seguintes funções de Microsoft Entra: - Operador de Segurança - Administrador de Segurança - Administrador Global |
| Revogar sessão | N\A | Funções de Microsoft Entra: - Administrador Global - Administrador de Utilizadores - Administrador de Autenticação - Administrador de Autenticação Privilegiada - Escritores de Diretórios - Administrador de Suporte Técnico |
Uma função personalizada definida com permissões para Resposta (gerir) ou uma das seguintes funções de Microsoft Entra: - Operador de Segurança - Administrador de Segurança - Administrador Global |
| Marcar como comprometido | N\A | Funções de Microsoft Entra: - Administrador Global -Administrador de Segurança - Operador de Segurança |
N/D |
| Reponha a palavra-passe | Veja Permissões obrigatórias do Defender para Identidade no Microsoft Defender XDR | N\A | N\A |
| Desativar | N\A | N\A | Uma função personalizada definida com permissões para Resposta (gerir) ou uma das seguintes funções de Microsoft Entra: - Operador de Segurança - Administrador de Segurança - Administrador Global |
| Definir o risco de identidade como Alto/Médio/Baixo | N\A | N\A | Uma função personalizada definida com permissões para Resposta (gerir) ou Uma das seguintes funções de Microsoft Entra: - Operador de Segurança - Administrador de Segurança - Administrador Global |
Nota
Existem algumas limitações para Microsoft Entra ID ao efetuar determinadas ações noutras funções. Para obter mais informações, veja a documentação do Graph API.
Vídeos relacionados
Ações de remediação no Defender para Identidade