Automaattisen hyökkäyshäiriötoiminnon tiedot ja tulokset
Koskee seuraavia:
- Microsoft Defender XDR
Kun automaattinen hyökkäyshäiriö käynnistyy Microsoft Defender XDR:ssä, tiedot vaarantuneiden resurssien riskistä ja eristämistilasta ovat saatavilla prosessin aikana ja sen jälkeen. Voit tarkastella tietoja tapaussivulla, joka sisältää hyökkäyksen täydelliset tiedot ja liittyvien resurssien ajantasaisen tilan.
Tapauskaavion tarkistaminen
Microsoft Defenderin XDR:n automaattinen hyökkäyshäiriö sisältyy tapausnäkymään. Tarkastele tapauskaaviota saadaksesi koko hyökkäystarinan ja arvioidaksesi hyökkäyksen häiriön vaikutusta ja tilaa.
Seuraavassa on joitakin esimerkkejä siitä, miltä se näyttää:
- Häiriöihin kuuluvat "Attack Disruption" -tunniste ja tunnistettu erityinen uhkatyyppi (esim. kiristyshaittaohjelma). Jos tilaat tapaussähköpostiilmoituksia, nämä tunnisteet näkyvät myös sähköposteissa.
- Tapauksen otsikon alla korostettu ilmoitus, joka ilmaisee, että tapaus häiriintyi.
- Keskeytetyt käyttäjät ja sisältyvät laitteet näkyvät selitteellä, joka ilmaisee heidän tilansa.
Jos haluat vapauttaa käyttäjätilin tai laitteen suojauksesta, napsauta sisällytettyä resurssia ja napsauta vapautusta laitteen eristämisruudusta tai ota käyttäjä käyttöön käyttäjätiliä varten.
Toimintokeskuksen toimintojen seuraaminen
Toimintokeskus (https://security.microsoft.com/action-center) kokoaa yhteen laitteidesi korjaus - ja vastaustoiminnot, sähköpostin & yhteistyösisällön ja käyttäjätiedot. Luetellut toiminnot sisältävät korjaustoimintoja, jotka on tehty automaattisesti tai manuaalisesti. Voit tarkastella automaattisen hyökkäyksen häiriöitä toimintokeskuksessa.
Voit julkaista sisällytettyjä resursseja, esimerkiksi ottaa käyttöön estetyt käyttäjätilit tai vapauttaa laitteen eristystoiminnosta toiminnon tietoruudusta. Voit vapauttaa sisältyvät resurssit lievennyksen jälkeen ja viimeistellä tapauksen tutkinnan. Lisätietoja toimintokeskuksesta on kohdassa Toimintokeskus.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Seuraa kehittyneen metsästyksen toimia
Voit käyttää tiettyjä kyselyjä kehittyneessä metsästyksessä laitteen tai käyttäjän jäljittämiseen ja käyttäjätilin toimintojen poistamiseen käytöstä.
Metsästys sisältää toimia
Sisältää hyökkäyshäiriön aiheuttamat toiminnot löytyvät DeviceEvents-taulukosta kehittyneestä metsästyksestä. Seuraavien kyselyiden avulla voit etsiä näitä erityisiä sisällytystoimintoja:
- Laitteessa on toimintoja:
DeviceEvents
| where ActionType contains "ContainDevice"
- Käyttäjä sisältää toimintoja:
DeviceEvents
| where ActionType contains "ContainUser"
Etsi käytöstä poiston käyttäjätilitoimintoja
Hyökkäyshäiriö käyttää Microsoft Defender for Identityn korjaustoimintoa tilien käytöstä poistamiseen. Defender for Identity käyttää oletusarvoisesti toimialueen ohjauskoneen LocalSystem-tiliä kaikissa korjaustoiminnoissa.
Seuraava kysely etsii tapahtumia, joissa toimialueen ohjauskone on poistanut käyttäjätilit käytöstä. Tämä kysely palauttaa myös käyttäjätilit, jotka on poistettu käytöstä automaattisen hyökkäyksen häiriöiden vuoksi käynnistämällä tilin käytöstäpoisto Microsoft Defenderin XDR:ssä manuaalisesti:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Yllä olevaa kyselyä on mukautettu Microsoft Defender for Identity - Attack Disruption -kyselystä.