تفاصيل ونتائج إجراء تعطيل الهجوم التلقائي

ينطبق على:

  • Microsoft Defender XDR

عند تشغيل تعطيل الهجوم التلقائي في Microsoft Defender XDR، تتوفر تفاصيل حول المخاطر وحالة الاحتواء للأصول المخترقة أثناء العملية وبعدها. يمكنك عرض التفاصيل في صفحة الحدث، والتي توفر التفاصيل الكاملة للهجوم والحالة المحدثة للأصول المرتبطة.

مراجعة الرسم البياني للحادث

تم تضمين تعطيل الهجوم التلقائي ل Microsoft Defender XDR في طريقة عرض الحدث. راجع الرسم البياني للحادث للحصول على قصة الهجوم بأكملها وتقييم تأثير اضطراب الهجوم وحالته.

فيما يلي بعض الأمثلة على الشكل الذي يبدو عليه:

  • تتضمن الحوادث المعطلة علامة ل "تعطيل الهجوم" ونوع التهديد المحدد المحدد (أي برامج الفدية الضارة). إذا اشتركت في إعلامات البريد الإلكتروني للحوادث، فستظهر هذه العلامات أيضا في رسائل البريد الإلكتروني.
  • إشعار مميز أسفل عنوان الحادث يشير إلى تعطيل الحادث.
  • يظهر المستخدمون المعلقون والأجهزة المضمنة مع تسمية تشير إلى حالتهم.

لتحرير حساب مستخدم أو جهاز من الاحتواء، انقر فوق الأصل المضمن وانقر فوق تحرير من الاحتواء لجهاز أو تمكين المستخدم لحساب مستخدم.

تعقب الإجراءات في مركز الصيانة

يجمع مركز الصيانة (https://security.microsoft.com/action-center) إجراءات المعالجة والاستجابة عبر أجهزتك والبريد الإلكتروني & محتوى التعاون والهويات. تتضمن الإجراءات المدرجة إجراءات المعالجة التي تم اتخاذها تلقائيا أو يدويا. يمكنك عرض إجراءات تعطيل الهجوم التلقائي في مركز الصيانة.

يمكنك تحرير الأصول المضمنة، على سبيل المثال، تمكين حساب مستخدم محظور أو تحرير جهاز من الاحتواء، من جزء تفاصيل الإجراء. يمكنك تحرير الأصول المضمنة بعد التخفيف من المخاطر وإكمال التحقيق في حادث. لمزيد من المعلومات حول مركز الصيانة، راجع مركز الصيانة.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.

تعقب الإجراءات في التتبع المتقدم

يمكنك استخدام استعلامات محددة في التتبع المتقدم لتتبع احتواء الجهاز أو المستخدم وتعطيل إجراءات حساب المستخدم.

البحث عن إجراءات الاحتواء

تم العثور على إجراءات تم تشغيلها بسبب تعطيل الهجوم في جدول DeviceEvents في التتبع المتقدم. استخدم الاستعلامات التالية للبحث عن هذه الإجراءات المحددة التي تحتوي على:

  • يحتوي الجهاز على إجراءات:
DeviceEvents
| where ActionType contains "ContainedDevice"
  • يحتوي المستخدم على إجراءات:
DeviceEvents
| where ActionType contains "ContainedUser"

البحث عن تعطيل إجراءات حساب المستخدم

يستخدم تعطيل الهجوم إمكانية إجراء المعالجة ل Microsoft Defender for Identity لتعطيل الحسابات. يستخدم Defender for Identity حساب LocalSystem لوحدة التحكم بالمجال بشكل افتراضي لجميع إجراءات المعالجة.

يبحث الاستعلام التالي عن الأحداث التي قامت فيها وحدة تحكم المجال بتعطيل حسابات المستخدمين. يقوم هذا الاستعلام أيضا بإرجاع حسابات المستخدمين المعطلة بسبب تعطيل الهجوم التلقائي عن طريق تشغيل تعطيل الحساب في Microsoft Defender XDR يدويا:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

تم تكييف الاستعلام أعلاه من استعلام Microsoft Defender for Identity - Attack Disruption.

الخطوة التالية