Teilen über


Details und Ergebnisse einer automatischen Angriffsunterbrechungsaktion

Gilt für:

  • Microsoft Defender XDR

Wenn eine automatische Angriffsunterbrechung in Microsoft Defender XDR ausgelöst wird, sind die Details zum Risiko und zum Eindämmungsstatus von kompromittierten Ressourcen während und nach dem Prozess verfügbar. Sie können die Details auf der Incidentseite anzeigen, die die vollständigen Details des Angriffs und den aktuellen Status der zugeordneten Ressourcen enthält.

Überprüfen des Incidentdiagramms

Die automatische Angriffsunterbrechung von Microsoft Defender XDR ist in der Incidentansicht integriert. Überprüfen Sie das Incidentdiagramm, um die gesamte Angriffsgeschichte zu erhalten und die Auswirkungen und den Status von Angriffsunterbrechungen zu bewerten.

Im Folgenden finden Sie einige Beispiele dafür, wie es aussieht:

  • Unterbrochene Vorfälle umfassen ein Tag für "Angriffsunterbrechung" und den spezifischen bedrohungstyp identifiziert (z. B. Ransomware). Wenn Sie Incident-E-Mail-Benachrichtigungen abonnieren, werden diese Tags auch in den E-Mails angezeigt.
  • Eine hervorgehobene Benachrichtigung unter dem Incidenttitel, die angibt, dass der Vorfall unterbrochen wurde.
  • Gesperrte Benutzer und eigenständige Geräte werden mit einer Bezeichnung angezeigt, die ihren Status angibt.

Wenn Sie ein Benutzerkonto oder ein Gerät aus der Kapselung freigeben möchten, klicken Sie auf das enthaltene Medienobjekt, und klicken Sie für ein Gerät aus der Kapselung freigeben oder benutzer für ein Benutzerkonto aktivieren .

Nachverfolgen der Aktionen im Info-Center

Das Info-Center (https://security.microsoft.com/action-center) vereint Wartungs- und Reaktionsaktionen auf Ihren Geräten, E-Mail-& Inhalte für die Zusammenarbeit und Identitäten. Zu den aufgeführten Aktionen gehören Wartungsaktionen, die automatisch oder manuell ausgeführt wurden. Sie können aktionen für automatische Angriffsunterbrechungen im Info-Center anzeigen.

Sie können die enthaltenen Ressourcen freigeben, z. B. ein gesperrtes Benutzerkonto aktivieren oder ein Gerät aus der Kapselung freigeben, über den Bereich mit den Aktionsdetails. Sie können die enthaltenen Ressourcen freigeben, nachdem Sie das Risiko verringert und die Untersuchung eines Incidents abgeschlossen haben. Weitere Informationen zum Info-Center finden Sie unter Info-Center.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.

Nachverfolgen der Aktionen in der erweiterten Suche

Sie können bestimmte Abfragen in der erweiterten Suche verwenden, um enthaltene Geräte oder Benutzer nachzuverfolgen und Benutzerkontoaktionen zu deaktivieren.

Suchen nach Contain-Aktionen

Enthält Aktionen, die durch eine Angriffsunterbrechung ausgelöst werden, finden Sie in der Tabelle DeviceEvents in der erweiterten Suche. Verwenden Sie die folgenden Abfragen, um nach diesen spezifischen Contain-Aktionen zu suchen:

  • Geräte enthalten Aktionen:
DeviceEvents
| where ActionType contains "ContainDevice"
  • Benutzer enthalten Aktionen:
DeviceEvents
| where ActionType contains "ContainUser"

Suchen nach Aktionen zum Deaktivieren von Benutzerkonten

Angriffsunterbrechungen verwenden die Wartungsaktionsfunktion von Microsoft Defender for Identity, um Konten zu deaktivieren. Defender for Identity verwendet standardmäßig das LocalSystem-Konto des Domänencontrollers für alle Wartungsaktionen.

Die folgende Abfrage sucht nach Ereignissen, bei denen ein Domänencontroller Benutzerkonten deaktiviert hat. Diese Abfrage gibt auch Benutzerkonten zurück, die durch automatische Angriffsunterbrechungen deaktiviert wurden, indem die Kontodeaktivierung in Microsoft Defender XDR manuell ausgelöst wird:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

Die obige Abfrage wurde aus einer Microsoft Defender for Identity - Attack Disruption-Abfrage angepasst.

Nächster Schritt