Detalles y resultados de una acción de interrupción automática de ataques

Cuando se desencadena la interrupción automática de ataques en Microsoft Defender XDR, puede ver los detalles del riesgo y el estado de contención de los recursos en peligro en la página del incidente. La página proporciona el caso de ataque completo y el estado actual de los recursos asociados.

Revisión del gráfico de incidentes

Microsoft Defender XDR interrupción automática de ataques se integra en la vista de incidentes. Revise el gráfico de incidentes para obtener todo el historial de ataques y evaluar el impacto y el estado de la interrupción del ataque.

La página del incidente incluye la siguiente información:

• Los incidentes interrumpidos incluyen una etiqueta para Attack Disruption y el tipo de amenaza específico identificado (por ejemplo, ransomware). Si se suscribe a las notificaciones por correo electrónico de incidentes, estas etiquetas también aparecen en los correos electrónicos.
• Una notificación resaltada debajo del título del incidente que indica que el incidente se interrumpió.
• Los usuarios suspendidos y los dispositivos contenidos aparecen con una etiqueta que indica su estado.

Para liberar una cuenta de usuario o un dispositivo de contención, seleccione el recurso contenido y seleccione Liberar de la contención de un dispositivo o habilitar el usuario para una cuenta de usuario.

Nota:

Antes de deshacer una acción, evalúe el riesgo y complete la investigación. Liberar un recurso contenido prematuramente podría permitir que un atacante reanude la actividad.

Revisar la tarjeta de resumen de interrupción del ataque

Cuando la interrupción automática de ataques toma medidas durante un incidente, aparece una tarjeta de resumen dedicada en la página del incidente. La tarjeta de resumen le proporciona una visión general rápida de las acciones de interrupción realizadas. También muestra datos históricos relacionados con la interrupción en el contexto del incidente, lo que significa que los datos se agregan desde la primera alerta del incidente hasta la actualidad.

Para revisar la tarjeta de resumen:

1. En el portal de Microsoft Defender, vaya a Incidentes & alertas>Incidentes.

2. Seleccione un incidente que tenga la etiqueta Interrupción de ataque .

3. En la página del incidente, busque la tarjeta de resumen de interrupción del ataque en el lado derecho de la página. La tarjeta proporciona:

   • Un resumen de las acciones automáticas realizadas como parte de este incidente.
   • Ver actividades : navega a la pestaña Actividades , donde puede ver todas las acciones automatizadas.
   • Ver recursos relacionados : enumera los recursos (puntos de conexión, cuentas, buzones, aplicaciones) donde se aplicaron acciones automatizadas.

Seguimiento de las acciones en el Centro de acciones

El Centro de acciones (https://security.microsoft.com/action-center) reúne acciones de corrección y respuesta en los dispositivos, el contenido de correo electrónico y colaboración, y las identidades. Las acciones enumeradas incluyen acciones de corrección que se realizaron de forma automática o manual. Puede ver las acciones de interrupción automática de ataques en el Centro de acciones.

Puede liberar los recursos contenidos, por ejemplo, habilitar una cuenta de usuario bloqueada o liberar un dispositivo de la contención desde el panel de detalles de la acción. Puede liberar los recursos contenidos después de mitigar el riesgo y completar la investigación de un incidente. Para obtener más información, vea Centro de acciones.

Seguimiento del estado de la acción en la pestaña Actividades (versión preliminar)

En la pestaña Actividades de la página Incidente se muestran detalles relacionados con un incidente específico, incluida la fecha y hora en que se inició la actividad, la alerta desencadenante, etc.

La columna Estado de la directiva (versión preliminar) de la lista de actividades proporciona una lista con estado de las acciones y directivas realizadas dentro de incidentes. Puede ver el estado actual de todas las acciones y directivas pertinentes en su entorno. Esta característica aborda el desafío de realizar un seguimiento de las acciones en curso y expiradas, especialmente en entornos grandes con muchos incidentes.

Para ver todas las acciones de protección predictiva y de interrupción automática de ataques tomadas como parte de un incidente:

1. En la pestaña Actividades del incidente, agregue los filtros siguientes:

   • Seleccione Intervalopersonalizadode 30 días> y seleccione el período de tiempo correspondiente para las acciones que desea investigar.
   • Seleccione Realizado por y seleccione AttackDisruption. Este filtro también incluye acciones de blindaje predictivo.
   • Seleccione Estado de la actividad y seleccione Completado. Este estado muestra el estado actual de la directiva para las acciones que se completan, filtrando las acciones parciales o en curso.
   • Estado de la directiva: seleccione Estado activo, Inactivo y Sin (todas las opciones excepto No aplicable).

2. Revise las actividades enumeradas. La columna Estado de la directiva muestra el estado actual de la directiva para cada actividad. Por ejemplo, un usuario estaba contenido en el período de tiempo especificado, pero la directiva está actualmente inactiva. Este estado significa que el usuario ya no está contenido.

   

Sugerencia

Las acciones de blindaje predictivo también aparecen al filtrar por AttackDisruption en el filtro Realizado por . Aunque la interrupción del ataque responde a un ataque activo al contener activos en peligro, el blindaje predictivo anticipa la posible progresión del ataque y aplica medidas de protección de forma preventiva. Para obtener una lista de las acciones de blindaje predictivo admitidas y más información sobre cómo administrarlas, consulte los artículos siguientes:

• Acciones de blindaje predictivo
• Administración del blindaje predictivo en Microsoft Defender

Están disponibles los siguientes estados de directiva:

• Activo: la directiva está activa y aplicada actualmente.
• Inactivo: la directiva se aplicó anteriormente, pero ya no está activa. Por ejemplo, un usuario estaba contenido, pero ahora se libera.
• No aplicable: el estado de la directiva no se aplica a la acción. Por ejemplo, el estado de la directiva no se aplica a una acción incontenible, porque las acciones no contendidas no son directivas, sino la reversión de una acción anterior.
• Sin estado: el estado de la directiva no se pudo recuperar por varias razones. Por ejemplo, la acción sigue en curso y el estado final aún no está determinado.

Esta vista proporciona datos únicos sobre la actividad y el estado de la directiva en el período de tiempo seleccionado. Estos datos van más allá de las vistas del Centro de acciones, que registran acciones pasadas pero no reflejan el estado actual.

Seguimiento de las acciones en la búsqueda avanzada

Use consultas específicas en la búsqueda avanzada para realizar un seguimiento de las acciones de contención de dispositivos, contención de usuarios y deshabilitación de cuentas de usuario.

Eventos relacionados con la contención en la búsqueda avanzada

La contención en Microsoft Defender para punto de conexión evita una mayor actividad de actor de amenazas bloqueando la comunicación desde entidades independientes. En la búsqueda avanzada, la tabla DeviceEvents registra acciones de bloque que resultan de la contención, no de la propia acción de contención inicial:

• Acciones de bloque derivadas del dispositivo : estos eventos indican la actividad (como la comunicación de red) que se bloqueó porque el dispositivo estaba contenido.

  DeviceEvents
  | where ActionType contains "ContainedDevice"
  

• Acciones de bloque derivadas por el usuario : estos eventos indican la actividad (como el inicio de sesión o los intentos de acceso a recursos) que se bloqueó porque el usuario estaba contenido.

  DeviceEvents
  | where ActionType contains "ContainedUser"
  

Búsqueda de acciones de deshabilitación de la cuenta de usuario

La interrupción de ataques usa la funcionalidad de acción de corrección de Microsoft Defender for Identity para deshabilitar las cuentas. De forma predeterminada, Microsoft Defender for Identity usa la cuenta LocalSystem del controlador de dominio para todas las acciones de corrección.

La consulta siguiente busca eventos en los que un controlador de dominio deshabilitó las cuentas de usuario. Esta consulta también devuelve cuentas de usuario deshabilitadas por interrupción automática de ataques desencadenando manualmente la deshabilitación de la cuenta en Microsoft Defender XDR:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

La consulta anterior se adaptó a partir de una consulta Microsoft Defender for Identity: Interrupción de ataque.

Consulta de la tabla DisruptionAndResponseEvents

Para obtener una vista más amplia de todas las acciones de interrupción de ataques en toda la organización, use la tabla DisruptionAndResponseEvents en Búsqueda avanzada. Esta tabla proporciona una vista unificada de las mismas acciones automáticas visibles en la pestaña Actividades, pero en toda la organización en lugar de un único incidente.

DisruptionAndResponseEvents
| where Timestamp > ago(30d)
| project Timestamp, ActionType, AttackDisruptionCategory, DeviceName, AccountUpn, RemoteIP
| order by Timestamp desc

Para limitar la consulta a un incidente específico, agregue un filtro para el identificador de incidente:

DisruptionAndResponseEvents
| where Timestamp > ago(30d)
| where IncidentId == <incident-id>
| project Timestamp, ActionType, AttackDisruptionCategory, DeviceName, AccountUpn
| order by Timestamp desc

Para obtener más información sobre el esquema de tabla DisruptionAndResponseEvents, vea La tabla DisruptionAndResponseEvents.

Contenido relacionado

• Excluir recursos de acciones de respuesta automatizadas
• Blindaje predictivo en Microsoft Defender
• Administración del blindaje predictivo en Microsoft Defender
• Tabla DisruptionAndResponseEvents
• Obtener notificaciones por correo electrónico para acciones de respuesta

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.