Podrobnosti a výsledky akce automatického přerušení útoku
Platí pro:
- Microsoft Defender XDR
Když se v Programu Microsoft Defender XDR aktivuje automatické přerušení útoku, jsou během procesu a po jeho ukončení k dispozici podrobnosti o riziku a stavu omezení ohrožených prostředků. Podrobnosti najdete na stránce incidentu, kde najdete úplné podrobnosti o útoku a aktuálním stavu přidružených prostředků.
Automatické přerušení útoku V programu Microsoft Defender XDR je integrované v zobrazení incidentu. Projděte si graf incidentů a získejte celý příběh útoku a vyhodnoťte dopad a stav přerušení útoku.
Tady je několik příkladů, jak to vypadá:
- Mezi narušené incidenty patří značka "Přerušení útoku" a konkrétní identifikovaný typ hrozby (tj. ransomware). Pokud se přihlásíte k odběru e-mailových oznámení o incidentech, zobrazí se v e-mailech také tyto značky.
- Zvýrazněné oznámení pod názvem incidentu, které označuje, že incident byl přerušen.
- Pozastavení uživatelé a zařízení s omezením se zobrazí s popiskem označujícím jejich stav.
Pokud chcete z omezení uvolnit uživatelský účet nebo zařízení, klikněte na obsažený prostředek a klikněte na uvolnit z uzavření zařízení nebo povolit uživateli uživatelský účet.
Centrum akcí (https://security.microsoft.com/action-center) spojuje nápravné akce a akce odpovědí napříč vašimi zařízeními, e-mailem & obsahem pro spolupráci a identitami. Uvedené akce zahrnují nápravné akce, které byly provedené automaticky nebo ručně. Akce automatického přerušení útoku si můžete prohlédnout v Centru akcí.
Obsažené prostředky můžete uvolnit, například povolit blokovaný uživatelský účet nebo uvolnit zařízení z uzavření, z podokna podrobností akce. Po zmírnění rizika a dokončení vyšetřování incidentu můžete obsažené prostředky uvolnit. Další informace o centru akcí najdete v tématu Centrum akcí.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Pomocí konkrétních dotazů v rozšířeném proaktivním vyhledávání můžete sledovat, které zařízení nebo uživatele obsahují, a zakázat akce uživatelského účtu.
Obsahují akce aktivované přerušením útoku, které najdete v tabulce DeviceEvents v rozšířeném proaktivním vyhledávání. Pomocí následujících dotazů vyhledáte tyto konkrétní akce obsahující:
- Zařízení obsahuje akce:
DeviceEvents
| where ActionType contains "ContainedDevice"
- Uživatel obsahuje akce:
DeviceEvents
| where ActionType contains "ContainedUser"
Přerušení útoku využívá k zakázání účtů možnost nápravné akce Microsoft Defenderu for Identity. Defender for Identity používá účet LocalSystem řadiče domény ve výchozím nastavení pro všechny akce nápravy.
Následující dotaz hledá události, kdy řadič domény zakázal uživatelské účty. Tento dotaz také vrátí uživatelské účty zakázané automatickým přerušením útoku tím, že ručně aktivuje zakázání účtu v programu Microsoft Defender XDR:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Výše uvedený dotaz byl upraven z dotazu Microsoft Defender for Identity – Přerušení útoku.