Compartir a través de


Detalles y resultados de una acción de interrupción automática de ataques

Se aplica a:

  • Microsoft Defender XDR

Cuando se desencadena una interrupción automática de ataques en XDR de Microsoft Defender, los detalles sobre el riesgo y el estado de contención de los recursos en peligro están disponibles durante y después del proceso. Puede ver los detalles en la página del incidente, que proporciona los detalles completos del ataque y el estado actualizado de los recursos asociados.

Revisión del gráfico de incidentes

La interrupción automática de ataques XDR de Microsoft Defender se integra en la vista de incidentes. Revise el gráfico de incidentes para obtener todo el historial de ataques y evaluar el impacto y el estado de la interrupción del ataque.

Estos son algunos ejemplos de su aspecto:

  • Los incidentes interrumpidos incluyen una etiqueta para "Interrupción de ataque" y el tipo de amenaza específico identificado (es decir, ransomware). Si se suscribe a las notificaciones por correo electrónico de incidentes, estas etiquetas también aparecen en los correos electrónicos.
  • Una notificación resaltada debajo del título del incidente que indica que el incidente se interrumpió.
  • Los usuarios suspendidos y los dispositivos contenidos aparecen con una etiqueta que indica su estado.

Para liberar una cuenta de usuario o un dispositivo de contención, haga clic en el recurso contenido y haga clic en Liberar de la contención de un dispositivo o habilite el usuario para una cuenta de usuario.

Seguimiento de las acciones en el Centro de acciones

El Centro de acciones (https://security.microsoft.com/action-center) reúne acciones de corrección y respuesta en todos los dispositivos, correo electrónico & contenido de colaboración e identidades. Las acciones enumeradas incluyen acciones de corrección que se realizaron de forma automática o manual. Puede ver las acciones de interrupción automática de ataques en el Centro de acciones.

Puede liberar los recursos contenidos, por ejemplo, habilitar una cuenta de usuario bloqueada o liberar un dispositivo de la contención desde el panel de detalles de la acción. Puede liberar los recursos contenidos después de mitigar el riesgo y completar la investigación de un incidente. Para obtener más información sobre el centro de acciones, vea Centro de acciones.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.

Seguimiento de las acciones en la búsqueda avanzada

Puede usar consultas específicas en la búsqueda avanzada para realizar un seguimiento de los dispositivos o usuarios y deshabilitar las acciones de la cuenta de usuario.

Búsqueda de acciones de contenido

Las acciones de contenido desencadenadas por la interrupción de ataques se encuentran en la tabla DeviceEvents en la búsqueda avanzada. Use las siguientes consultas para buscar estas acciones de contenido específicas:

  • El dispositivo contiene acciones:
DeviceEvents
| where ActionType contains "ContainedDevice"
  • El usuario contiene acciones:
DeviceEvents
| where ActionType contains "ContainedUser"

Búsqueda de acciones de deshabilitación de la cuenta de usuario

La interrupción de ataques usa la funcionalidad de acción de corrección de Microsoft Defender for Identity para deshabilitar las cuentas. Defender for Identity usa la cuenta LocalSystem del controlador de dominio de forma predeterminada para todas las acciones de corrección.

La consulta siguiente busca eventos en los que un controlador de dominio deshabilitó las cuentas de usuario. Esta consulta también devuelve cuentas de usuario deshabilitadas por interrupción automática de ataques desencadenando la deshabilitación de la cuenta en XDR de Microsoft Defender manualmente:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

La consulta anterior se adaptó a partir de una consulta de Interrupción de ataque de Microsoft Defender for Identity.

Paso siguiente