Oplysninger om og resultater af en automatisk angrebsafbrydelse
Gælder for:
- Microsoft Defender XDR
Når en automatisk afbrydelse af et angreb udløses i Microsoft Defender XDR, er oplysningerne om risikoen og indeslutningsstatus for kompromitterede aktiver tilgængelige under og efter processen. Du kan få vist oplysningerne på hændelsessiden, som indeholder de fulde oplysninger om angrebet og den opdaterede status for tilknyttede aktiver.
Gennemse hændelsesgrafen
Microsoft Defender XDR-automatisk angrebsafbrydelse er indbygget i hændelsesvisningen. Gennemse grafen over hændelser for at få hele angrebshistorien og vurdere indvirkningen og status for angrebsforstyrrelse.
Her er nogle eksempler på, hvordan det ser ud:
- Forstyrrede hændelser inkluderer et tag for 'Angrebsforstyrrelse' og den specifikke trusselstype, der er identificeret (dvs. ransomware). Hvis du abonnerer på meddelelser via mail om hændelser, vises disse mærker også i mails.
- En fremhævet meddelelse under hændelsestitel angiver, at hændelsen blev afbrudt.
- Afbrudte brugere og indeholdte enheder vises med en mærkat, der angiver deres status.
Hvis du vil frigive en brugerkonto eller en enhed fra opbevaring, skal du klikke på det indeholdte aktiv og klikke på Frigiv fra opbevaring for en enhed eller aktivere brugeren for en brugerkonto.
Spor handlingerne i Løsningscenter
Løsningscenteret (https://security.microsoft.com/action-center) samler afhjælpnings- og svarhandlinger på tværs af dine enheder, mail & samarbejdsindhold og identiteter. De handlinger, der er angivet, omfatter afhjælpningshandlinger, der er udført automatisk eller manuelt. Du kan få vist automatiske angrebsafbrydelser i Løsningscenter.
Du kan frigive de indeholdte aktiver, f.eks. aktivere en blokeret brugerkonto eller frigive en enhed fra opbevaring, fra ruden med handlingsoplysninger. Du kan frigive de indeholdte aktiver, når du har mindsket risikoen og afsluttet undersøgelsen af en hændelse. Du kan få flere oplysninger om Løsningscenter i Løsningscenter.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Spor handlingerne i avanceret jagt
Du kan bruge specifikke forespørgsler i avanceret jagt til at spore, om de indeholder enhed eller bruger, og deaktivere brugerkontohandlinger.
Søg efter indeholder handlinger
Indeholder handlinger, der udløses af angrebsafbrydelser, findes i tabellen DeviceEvents i avanceret jagt. Brug følgende forespørgsler til at søge efter disse specifikke indeholder handlinger:
- Enheden indeholder handlinger:
DeviceEvents
| where ActionType contains "ContainDevice"
- Brugeren indeholder handlinger:
DeviceEvents
| where ActionType contains "ContainUser"
Søg efter deaktivering af brugerkontohandlinger
Afbrydelse af angreb bruger afhjælpningshandlingsfunktionen i Microsoft Defender for Identity til at deaktivere konti. Defender for Identity bruger som standard domænecontrollerens LocalSystem-konto til alle afhjælpningshandlinger.
Følgende forespørgsel søger efter hændelser, hvor en domænecontroller deaktiverede brugerkonti. Denne forespørgsel returnerer også brugerkonti, der er deaktiveret af automatisk afbrydelse af angreb, ved at udløse kontodeaktivering manuelt i Microsoft Defender XDR:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Ovenstående forespørgsel blev tilpasset fra en Microsoft Defender for Identity - Attack Disruption-forespørgsel.