DisruptionAndResponseEvents (Vorschau)

Wichtig

Einige Informationen beziehen sich auf vorab veröffentlichte Produkte, die vor der kommerziellen Veröffentlichung erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Die DisruptionAndResponseEvents Tabelle in der erweiterten Suche enthält Informationen zu automatischen Angriffsunterbrechungen und Vorhersageschutzereignissen in Microsoft Defender XDR. Diese Ereignisse umfassen sowohl Block- als auch Richtlinienanwendungsereignisse im Zusammenhang mit richtlinien für ausgelöste Angriffsunterbrechungen sowie automatische Aktionen, die für verwandte Workloads ausgeführt wurden.

Benutzer können diese Tabelle verwenden, um ihre Sichtbarkeit und Ihr Bewusstsein für aktive, komplexe Angriffe zu erhöhen, die durch automatische Angriffsunterbrechungen unterbrochen werden. Das Verständnis des Umfangs auch komplexer Angriffe, ihres Kontexts, ihrer Auswirkungen und der Gründe dafür, warum Unterbrechungsaktionen ergriffen wurden, kann Benutzern helfen, bessere und schnellere Entscheidungen zu treffen und Ressourcen effizienter zuzuordnen.

Überlegungen zur Tabelle "DisruptionAndResponseEvents"

Die DisruptionAndResponseEvents Tabelle:

• Wird mit Datensätzen aus verschiedenen Microsoft-Sicherheitsdiensten aufgefüllt. Wenn Ihr organization den Dienst nicht in Microsoft Defender XDR bereitgestellt hat, funktionieren Abfragen, die die Tabelle verwenden, nicht oder geben vollständige Ergebnisse zurück. Weitere Informationen zum Bereitstellen unterstützter Dienste in Defender XDR finden Sie unter Bereitstellen unterstützter Dienste.
• Enthält keine Ausführung von Aktionen wie "Benutzer enthalten" oder "Benutzer deaktivieren". Die Tabelle enthält nur die Ergebnisse dieser Aktionen, z. B. blockierte Anmeldeversuche oder Richtlinienanwendungen. Für den vollständigen Kontext dieser Aktionen protokolliert das Info-Center alle Ereignisse.
• Macht nur Defender für Endpunkt-basierte Steuerelemente verfügbar.

Schemareferenz

Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Tipp

Ausführliche Informationen zu den Ereignistypen (ActionType Werten), die von dieser Tabelle unterstützt werden, finden Sie unter ActionType-Werte.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname	Datentyp	Beschreibung
Timestamp	datetime	Datum und Uhrzeit der Aufzeichnung des Ereignisses
ActionType	string	Art der durchgeführten Unterbrechungsaktion Tipp: Weitere Informationen finden Sie unter ActionType-Werte.
DeviceId	string	Eindeutiger Bezeichner für das Gerät, das das Ereignis gemeldet hat; Das Melden kann das Gerät sein, das den Zugriff blockiert hat, das kompromittierte Gerät selbst oder sogar ein anderes Gerät, das den Angriff kennt.
SourceDeviceId	string	Eindeutiger Bezeichner für das Gerät, von dem der Angriff stammt
TargetDeviceId	string	Eindeutiger Bezeichner für das Gerät, das als Ziel verwendet oder angegriffen wurde
TargetDeviceName	string	Name des Geräts, das ziel- oder angegriffen wurde
TargetDomainName	string	Domänenname des Geräts, das als Ziel verwendet oder angegriffen wurde
DeviceName	string	Name des Geräts, das das Ereignis gemeldet hat; Das Melden kann das Gerät sein, das den Zugriff blockiert hat, das kompromittierte Gerät selbst oder sogar ein anderes Gerät, das den Angriff kennt.
DomainName	string	Domänenname, mit dem das Gerät, das das Ereignis gemeldet hat, verknüpft ist; Das Melden kann das Gerät sein, das den Zugriff blockiert hat, das kompromittierte Gerät selbst oder sogar ein anderes Gerät, das den Angriff kennt.
InitiatingProcessId	integer	Prozess-ID (PID) des Prozesses, der diese Blockaktion ausgelöst hat, basierend auf der Perspektive des meldenden Geräts
InitiatingProcessFileName	string	Name des Prozesses, der die Blockaktion ausgelöst hat, basierend auf der Perspektive des Meldens des Geräts
SourceUserSid	string	Die Sicherheits-ID des Kontos, das die schädliche Aktivität durchführt
SourceUserName	string	Der Benutzername des Kontos, das die schädliche Aktivität durchführt.
SourceUserDomainName	string	Der Domänenname des Kontos, das die schädliche Aktivität durchführt.
SourceIPAddress	string	IP-Adresse, von der die Kommunikation des Angreifers stammt und durch automatische Angriffsunterbrechung blockiert wurde
SourcePort	integer	Port, von dem die Kommunikation des Angreifers stammt
IPAddress	string	IP-Adresse, auf die der Angreifer zugreifen wollte
Port	string	Port, auf den der Angreifer zugreifen wollte
SourceDeviceName	string	Hostname des Geräts, von dem der Angriff stammt
SourceDomainName	string	Domänenname des Geräts, von dem der Angriff stammt
AuthenticationProtocol	string	Authentifizierungsprotokoll, das der kompromittierte Benutzer für die Anmeldung verwendet hat; mögliche Werte: Undefined, NTLM, Kerberos
Service	string	Name des Diensts, den der Angreifer zu verwenden versucht hat, wenn sich der Angreifer mit Kerberos oder NTLM angemeldet hat; beispiel: SMB, HTTP, cifs, SMB, host, ldap, SMB, krbtgt
InterfaceUuidSourceDomainName	string	Eindeutiger Bezeichner (UUID) für die RPC-Schnittstelle (Remote Procedure Call), auf die der Angreifer zugreifen wollte
InterfaceFriendlyName	string	Anzeigename der Schnittstelle, die durch die Schnittstellen-UUID dargestellt wird
FileName	string	Name der Datei, auf die der Angreifer zugreifen wollte
ShareName	string	Name des Freigabespeicherorts, auf den der Angreifer zugreifen wollte
LogonType	string	Typ der Anmeldesitzung, die der Benutzer versucht hat; mögliche Werte: interaktiv, Remote Interactive (RDP), Netzwerk, Batchauftrag, Dienst
LogonId	long	Bezeichner für eine Anmeldesitzung; Dies ist nur zwischen Neustarts auf demselben Gerät eindeutig.
SessionId	long	Eindeutige Nummer, die einem Benutzer vom Server einer Website für die Dauer des Besuchs oder der Sitzung zugewiesen wird
CompromisedAccountCount	integer	Anzahl der kompromittierten Konten, die Teil der Richtlinie sind
PolicyId	string	Eindeutiger Bezeichner für die Richtlinie
PolicyName	string	Name der Richtlinie
PolicyVersion	string	Version der Richtlinie
PolicyHash	string	Eindeutiger Hash der Richtlinie
DataSources	array	Produkte oder Dienstleistungen, die Informationen für die Veranstaltung bereitstellten; Beispiel: Microsoft Defender for Endpoint
IsPolicyOn	boolean	Gibt den aktuellen Status der Richtlinie auf dem Gerät zum Zeitpunkt des Unterbrechungsereignisses an; mögliche Werte: true (die Richtlinie ist aktiviert, daher wurde sie angewendet oder erzwungen), false (die Richtlinie wurde deaktiviert oder vom Gerät widerrufen)
ReportType	string	Art und Auswirkungsebene des gemeldeten Ereignisses; mögliche Werte: Verhindert (die Aktion, z. B. ein Verbindungs- oder Authentifizierungsversuch, wurde vor der Ausführung vollständig blockiert), Blockiert (eine aktive Verbindung oder Sitzung wurde erzwungen, mit teilweisen Auswirkungen auf das Gerät), PolicyUpdated (der Client hat eine neue Richtlinie empfangen und möglicherweise angewendet)

ActionType-Werte

Aktion	Beschreibung	Verteidigungsstrategie
ContainedRestrictedUserSmbFileOpenBlocked	Protokolliert ein Ereignis, wenn ein Benutzer, der Mitglied einer eingeschränkten Benutzergruppe ist, versucht, eine bestimmte freigegebene SMB-Datei (Server Message Block) zu öffnen und die Aktion blockiert wird.	Automatische Angriffsunterbrechung
ContainedUserLogonBlocked	Protokolliert ein Ereignis, wenn der Anmeldeversuch eines eigenständigen Benutzers blockiert wird.	Automatische Angriffsunterbrechung
ContainedUserLogonBlockedByDomainController	Protokolliert ein Ereignis, wenn der Anmeldeversuch eines Benutzers bei einem Gerät in der Domäne vom Domänencontroller aufgrund von Einschlussrichtlinien blockiert wird.	Automatische Angriffsunterbrechung
ContainedUserRemoteDesktopSessionDisconnected	Protokolliert ein Ereignis, wenn die Remotedesktopsitzung eines eigenständigen Benutzers mit WTSDisconnectSessionerzwungener Verbindung getrennt wird.	Automatische Angriffsunterbrechung
ContainedUserRemoteDesktopSessionStopped	Protokolliert ein Ereignis, wenn die Remotedesktopsitzung eines eigenständigen Benutzers mit WTSLogoffSessionbeendet wird.	Automatische Angriffsunterbrechung
ContainedUserRpcAccessBlocked	Protokolliert ein Ereignis, wenn der Versuch eines eigenständigen Benutzers, über RPC auf eine Ressource zuzugreifen, blockiert wird.	Automatische Angriffsunterbrechung
ContainedUserSmbFileOpenBlocked	Protokolliert ein Ereignis, wenn ein eigenständiger Benutzer versucht, eine freigegebene SMB-Datei zu öffnen und der Versuch blockiert wird.	Automatische Angriffsunterbrechung
ContainedUserSmbFileOpenBlockedAggregation	Identisch mit ContainedUserSmbFileOpenBlocked, aber aggregiert für Fälle, in denen derselbe enthaltene Benutzer innerhalb eines Zeitfensters von einer Minute auf mehr als 10 Dateien zugreift.	Automatische Angriffsunterbrechung
ContainedUserSmbSessionStopped	Protokolliert ein Ereignis, wenn eine von einem eigenständigen Benutzer initiierte SMB-Sitzung erzwungen beendet wird.	Automatische Angriffsunterbrechung
GroupPolicyAccessBlocked	Blockiert den Zugriff auf das SYSVOL-Verzeichnis , hindert das Gerät daran, Gruppenrichtlinienupdates zu pullen.	Predictive Shielding
SafeBootBlocked	Verhindert, dass das Gerät im abgesicherten Modus neu gestartet wird.	Predictive Shielding
SafeBootGuardPolicyApplied	Wendet die Safe Boot Guard-Richtlinie auf das Gerät an.	Predictive Shielding
SafeBootGuardPolicyRemoved	Entfernt die Safe Boot Guard-Richtlinie vom Gerät.	Predictive Shielding
GroupPolicyHardeningPolicyApplied	Wendet die Gruppenrichtlinie Härterichtlinie auf das Gerät an.	Predictive Shielding
GroupPolicyHardeningPolicyRemoved	Entfernt die Gruppenrichtlinie Härterichtlinie vom Gerät.	Predictive Shielding

Verwandte Themen

• Übersicht über die erweiterte Suche
• Lernen der Abfragesprache
• Verwenden freigegebener Abfragen
• Suche über Geräte, E-Mails, Apps und Identitäten hinweg
• Grundlegendes zum Schema
• Anwenden bewährter Methoden für Abfragen