פרטים והתוצאות של פעולת הפרעה אוטומטית בתקיפה
חל על:
- Microsoft Defender XDR
כאשר הפרעה אוטומטית בתקיפה מופעלת ב- XDR של Microsoft Defender, הפרטים לגבי הסיכון ומצב הכלה של נכסים שנחשף לסכנה זמינים במהלך התהליך ואחריו. באפשרותך להציג את הפרטים בדף האירוע, המספק את הפרטים המלאים של ההתקפה ואת המצב המעודכן של הנכסים המשויכים.
שיבוש בתקיפה אוטומטית של Microsoft Defender XDR מוכלל בתצוגת האירוע. סקור את גרף האירועים כדי לקבל את כל הסיפור על ההתקפה ולהעריך את ההשפעה והמצב של הפרעות ההתקפה.
להלן כמה דוגמאות להמראה שלו:
- אירועים משובשים כוללים תגית עבור 'הפרעה לתקיפות' ואת סוג האיום הספציפי שזוהה (כלומר, תוכנת כופר). אם אתה נרשם להודעות בדואר אלקטרוני לגבי מקרים, תגיות אלה מופיעות גם בהודעות הדואר האלקטרוני.
- הודעה מסומנת מתחת לכותרת האירוע המציינת שהתקרית הושבשה.
- משתמשים מושעה והתקנים כלולים מופיעים עם תווית המציינת את המצב שלהם.
כדי לשחרר חשבון משתמש או מכשיר מכלה, לחץ על הנכס הכלול ולחץ על הפצה מכליל עבור מכשיר או הפוך משתמש לזמין עבור חשבון משתמש.
מרכז הפעולות (https://security.microsoft.com/action-center) מאגד פעולות תיקון ותגובה במכשירים שונים, דואר & תוכן שיתוף פעולה וזהויות. הפעולות המפורטות כוללות פעולות תיקון שבוצעו באופן אוטומטי או ידני. באפשרותך להציג פעולות הפרעות תקיפה אוטומטיות במרכז הפעולות.
באפשרותך לשחרר את הנכסים הכלולים, לדוגמה, להפוך חשבון משתמש חסום לזמין או לשחרר מכשיר מכל מקום, מתוך חלונית פרטי הפעולה. באפשרותך לשחרר את הנכסים הכלולים לאחר שתצמצם את הסיכון ותשלים את החקירה של מקרה. לקבלת מידע נוסף אודות מרכז הפעולות, ראה מרכז הפעולות.
טיפ
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
באפשרותך להשתמש בשאילתות ספציפיות בחיפוש מתקדם כדי לעקוב אחר להכיל מכשיר או משתמש, ולהבטל פעולות של חשבון משתמש.
מכילות פעולות המופעלות על-ידי הפרעה בתקיפה נמצאות בטבלה DeviceEvents בהריגה מתקדמת. השתמש בשאילתות הבאות כדי לחפש פעולות ספציפיות אלה המכילות:
- המכשיר מכיל פעולות:
DeviceEvents
| where ActionType contains "ContainedDevice"
- המשתמש מכיל פעולות:
DeviceEvents
| where ActionType contains "ContainedUser"
הפרעה בתקיפה משתמשת ביכולת פעולת התיקון של Microsoft Defender עבור זהות כדי להפוך חשבונות ללא זמינים. Defender for Identity משתמש בחשבון LocalSystem של בקר התחום כברירת מחדל עבור כל פעולות התיקון.
השאילתה הבאה בודקת אירועים שבהם בקר תחום הפך חשבונות משתמשים ללא זמינים. שאילתה זו גם מחזירה חשבונות משתמשים כלא זמינים על-ידי הפרעה אוטומטית בתקיפה על-ידי הפעלת השבתת החשבון ב- Microsoft Defender XDR באופן ידני:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
השאילתה לעיל הותאמת מתוך שאילתת Microsoft Defender for Identity - הפרעה בתקיפות.