Détails et résultats d’une action d’interruption d’attaque automatique
S’applique à :
- Microsoft Defender XDR
Lorsqu’une interruption d’attaque automatique se déclenche dans Microsoft Defender XDR, les détails sur le risque et l’état d’endiguement des ressources compromises sont disponibles pendant et après le processus. Vous pouvez afficher les détails sur la page de l’incident, qui fournit les détails complets de l’attaque et l’état à jour des ressources associées.
Passer en revue le graphique des incidents
L’interruption des attaques automatiques de Microsoft Defender XDR est intégrée à la vue des incidents. Passez en revue le graphique des incidents pour obtenir l’intégralité de l’histoire de l’attaque et évaluer l’impact et l’état des interruptions d’attaque.
Voici quelques exemples de ce à quoi il ressemble :
- Les incidents perturbés incluent une étiquette pour « Interruption des attaques » et le type de menace spécifique identifié (par exemple, ransomware). Si vous vous abonnez aux notifications par e-mail d’incident, ces balises apparaissent également dans les e-mails.
- Notification mise en surbrillance sous le titre de l’incident indiquant que l’incident a été interrompu.
- Les utilisateurs suspendus et les appareils autonomes apparaissent avec une étiquette indiquant leur état.
Pour libérer un compte d’utilisateur ou un appareil de l’isolement, cliquez sur la ressource autonome, puis cliquez sur Libérer l’autonomie d’un appareil ou activez l’utilisateur pour un compte d’utilisateur.
Suivre les actions dans le centre de notifications
Le Centre de notifications (https://security.microsoft.com/action-center) regroupe les actions de correction et de réponse sur vos appareils, les e-mails & le contenu de collaboration et les identités. Les actions répertoriées incluent des actions de correction qui ont été effectuées automatiquement ou manuellement. Vous pouvez afficher les actions d’interruption d’attaque automatique dans le Centre de notifications.
Vous pouvez libérer les ressources contenues, par exemple, activer un compte d’utilisateur bloqué ou libérer un appareil de l’isolement, à partir du volet détails de l’action. Vous pouvez libérer les ressources autonomes après avoir atténué le risque et terminé l’examen d’un incident. Pour plus d’informations sur le centre de notifications, consultez Centre de notifications.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Suivre les actions dans la chasse avancée
Vous pouvez utiliser des requêtes spécifiques dans la chasse avancée pour effectuer le suivi de l’appareil ou de l’utilisateur contenant, et désactiver les actions de compte d’utilisateur.
Rechercher les actions de conteneur
Les actions de conteneur déclenchées par une interruption d’attaque se trouvent dans la table DeviceEvents dans la chasse avancée. Utilisez les requêtes suivantes pour rechercher ces actions spécifiques :
- L’appareil contient des actions :
DeviceEvents
| where ActionType contains "ContainedDevice"
- L’utilisateur contient des actions :
DeviceEvents
| where ActionType contains "ContainedUser"
Rechercher la désactivation des actions de compte d’utilisateur
L’interruption des attaques utilise la fonctionnalité d’action de correction de Microsoft Defender pour Identity pour désactiver les comptes. Defender pour Identity utilise le compte LocalSystem du contrôleur de domaine par défaut pour toutes les actions de correction.
La requête suivante recherche les événements où un contrôleur de domaine a désactivé des comptes d’utilisateur. Cette requête retourne également les comptes d’utilisateur désactivés par interruption automatique des attaques en déclenchant manuellement la désactivation du compte dans Microsoft Defender XDR :
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
La requête ci-dessus a été adaptée à partir d’une requête Microsoft Defender pour Identity - Interruption des attaques.