Acciones de corrección en Microsoft Defender for Identity

Se aplica a:

  • Microsoft Defender for Identity
  • Microsoft Defender XDR

Microsoft Defender for Identity le permite responder a los usuarios en peligro deshabilitando sus cuentas o restableciendo su contraseña. Después de realizar acciones en los usuarios, puede comprobar los detalles de la actividad en el centro de acciones.

Las acciones de respuesta de los usuarios están disponibles directamente desde la página de usuario, el panel del lado del usuario, la página de búsqueda avanzada o en el centro de acciones.

Funcionamiento de las acciones de corrección

Las acciones de corrección las inicia un usuario en el portal de Microsoft Defender y se autorizan mediante el control de acceso basado en rol (RBAC) en función de Microsoft Entra ID roles. Si el usuario iniciador no está autorizado, la acción se bloquea antes de la ejecución.

Después de la autorización, el sistema de identidad que administra la cuenta afectada ejecuta la acción:

  • Active Directory El sensor de Microsoft Defender for Identity ejecuta las acciones en el controlador de dominio. El sensor suplanta la cuenta LocalSystem para realizar la acción.

  • Microsoft Entra ID Microsoft Defender for Identity crea y usa una aplicación empresarial administrada por Microsoft para ejecutar acciones de corrección en Entra id.

    • Nombre de la aplicación:Microsoft Defender for Identity. En inquilinos anteriores, la aplicación podría aparecer con el nombre Radius Aad Syncer.
    • Id. de aplicación:60ca1954-583c-4d1f-86de-39d835f3e452

  • Proveedores de identidades (IDP) compatibles que no son de Microsoft Las acciones se ejecutan mediante las API del IdP de origen en función de las credenciales configuradas para la integración.

El sistema de identidades donde se ejecuta la acción registra las acciones de corrección y son visibles en Microsoft Defender registros de auditoría.

Acciones de corrección en interrupción automática de ataques

Las acciones de corrección también se pueden aplicar automáticamente mediante la interrupción automática de ataques de Microsoft Defender. Cuando se detecta un ataque activo, la interrupción del ataque usa funcionalidades de corrección de Defender for Identity para contener la amenaza sin intervención manual. Para obtener más información, consulte Interrupción automática de ataques.

Acciones admitidas

Las siguientes acciones de Defender for Identity se pueden realizar en Identidades.

En función de los roles de Microsoft Entra ID, es posible que vea acciones Microsoft Entra ID adicionales, como exigir a los usuarios que vuelvan a iniciar sesión y confirmar que un usuario está en peligro. Para obtener más información, consulte Corrección de riesgos y desbloqueo de usuarios.

Acción de corrección Descripción Sistemas de identidad admitidos
Deshabilitar Deshabilita todas las cuentas vinculadas a una identidad o a una cuenta específica. Deshabilitar impide el inicio de sesión y el acceso a los recursos de red hasta que se vuelvan a habilitar las cuentas. Esta acción no elimina el perfil de identidad ni los datos asociados, como documentos, eventos de calendario o mensajes de correo electrónico.
  • Active Directory
  • Microsoft Entra ID
  • Okta
Habilitación Vuelva a habilitar las cuentas que se deshabilitaron anteriormente para la identidad seleccionada.
  • Active Directory
  • Microsoft Entra ID
  • Okta
Revocar sesión Revoca las sesiones activas para la identidad seleccionada.
  • Microsoft Entra ID
  • Okta
Marcar como en peligro Marca todas las cuentas vinculadas a la identidad seleccionada como comprometidas en Microsoft Entra ID. Microsoft Entra ID
Forzar cambio de contraseña Fuerza un cambio de contraseña para una o varias cuentas vinculadas a la identidad seleccionada. El usuario debe cambiar su contraseña en el siguiente inicio de sesión, lo que impide el uso adicional de credenciales en peligro. Active Directory
Desactivar Desactiva permanentemente una cuenta malintencionada no legítima. Okta
Establecer el riesgo de la cuenta en Alto/Medio/Bajo Establece la puntuación de riesgo de la cuenta en uno de los niveles definidos. Solo está disponible cuando la característica Puntuación de riesgo está habilitada en Okta. Okta

Roles y permisos

En esta tabla se enumeran las acciones de corrección admitidas por Defender for Identity y los roles necesarios para iniciar cada acción.

Acción de corrección Active Directory Microsoft Entra ID Okta
Deshabilitar Consulte Permisos necesarios Defender for Identity en Microsoft Defender XDR
  • Administrador global
  • Administrador de usuarios
  • Administrador de autenticación
  • Administrador de autenticación con privilegios
  • Escritores de directorios
  • Operador de seguridad
  • Administrador de seguridad
  • Administrador global
Habilitación Consulte Permisos necesarios Defender for Identity en Microsoft Defender XDR
  • Administrador global
  • Administrador de usuarios
  • Administrador de autenticación
  • Administrador de autenticación con privilegios
  • Escritores de directorios
  • Operador de seguridad
  • Administrador de seguridad
  • Administrador global
Revocar sesión N/D
  • Administrador global
  • Administrador de usuarios
  • Administrador de autenticación
  • Administrador de autenticación con privilegios
  • Escritores de directorios
  • Administrador del servicio de asistencia
  • Operador de seguridad
  • Administrador de seguridad
  • Administrador global
Marcar como en peligro N/D
  • Administrador global
  • Administrador de seguridad
  • Operador de seguridad
 N/D
Forzar cambio de contraseña Consulte Permisos necesarios Defender for Identity en Microsoft Defender XDR N/D N/D
Desactivar N/D N/D
  • Operador de seguridad
  • Administrador de seguridad
  • Administrador global
Establecer el riesgo de identidad en Alto/Medio/Bajo N/D N/D
  • Operador de seguridad
  • Administrador de seguridad
  • Administrador global

Nota:

Existen algunas limitaciones para Microsoft Entra ID al realizar ciertas acciones en otros roles. Para obtener más información, consulte la documentación de Graph API.

Requisitos previos

Para realizar cualquiera de las acciones admitidas, debe:

  • Configure la cuenta que Microsoft Defender for Identity usa para realizar acciones. De forma predeterminada, el sensor de Microsoft Defender for Identity instalado en un controlador de dominio suplanta la cuenta LocalSystem del controlador de dominio para realizar acciones de Active Directory. Para obtener más información, consulte Microsoft Defender for Identity cuentas de acción.
  • Inicie sesión en el portal de Microsoft Defender con los permisos necesarios. Para las acciones de Defender for Identity, necesitará un rol personalizado con permisos de respuesta (administrar). Para obtener más información, consulte Creación de roles personalizados con Microsoft Defender RBAC unificado. Para obtener más información sobre los roles específicos necesarios para cada acción, consulte Roles y permisos.

Para aplicar una acción de corrección a una identidad:

  1. En el portal de Microsoft Defender, vaya a una de las siguientes ubicaciones:

    • Página Identidad: vaya aIdentidades de recursos> y seleccione la identidad sobre la que desea actuar.
    • Página de búsqueda avanzada: vaya a Búsqueda>de búsqueda avanzada e identifique un resultado que incluya una entidad de identidad.
    • Centro de acciones: vaya a Acciones & envíosCentro de acciones para revisar y administrar acciones pendientes o completadas>.

  2. Seleccione Acciones o haga clic con el botón derecho en la identidad para abrir el menú acciones.

  3. Seleccione la acción de corrección que desea aplicar, como Deshabilitar, Revocar sesión o Forzar cambio de contraseña.

  4. Confirme la acción cuando se le solicite.

El sistema de identidad correspondiente envía y ejecuta la acción. Puede realizar un seguimiento del estado en el Centro de acciones.

Vea también

cuentas de acción de Microsoft Defender for Identity

  • Last updated on