Olvasás angol nyelven

Megosztás a következőn keresztül:


Az automatikus támadáskimaradási művelet részletei és eredményei

Érintett szolgáltatás:

  • Microsoft Defender XDR

Amikor automatikus támadáskimaradás aktiválódik a Microsoft Defender XDR-ben, a sérült eszközök kockázatával és elszigetelési állapotával kapcsolatos részletek a folyamat során és után érhetők el. A részleteket az incidens oldalán tekintheti meg, amely a támadás teljes részleteit és a társított eszközök naprakész állapotát tartalmazza.

Az incidensgrafikon áttekintése

A Microsoft Defender XDR automatikus támadáskimaradása be van építve az incidensnézetben. Tekintse át az incidensgráfot a teljes támadási történet lekéréséhez, és értékelje a támadáskimaradás hatását és állapotát.

Íme néhány példa a kinézetére:

  • A megszakított incidensek tartalmazzák a "Támadási zavar" címkét és az azonosított konkrét fenyegetéstípust (például zsarolóprogramot). Ha feliratkozik az incidensekkel kapcsolatos e-mail-értesítésekre, ezek a címkék is megjelennek az e-mailekben.
  • Kiemelt értesítés az incidens címe alatt, amely azt jelzi, hogy az incidens megszakadt.
  • A felfüggesztett felhasználók és a tartalmazott eszközök az állapotukat jelző címkével jelennek meg.

Ha felhasználói fiókot vagy eszközt szeretne felszabadítani az elszigetelésből, kattintson a tartalmazott objektumra, és kattintson az eszköz elszigeteléséből való felszabadítás elemre, vagy engedélyezze a felhasználót egy felhasználói fiók számára.

A műveletek nyomon követése a Műveletközpontban

A Műveletközpont (https://security.microsoft.com/action-center) összefogja a szervizelési és válaszműveleteket az eszközökön, az e-mail-& az együttműködési tartalmakat és az identitásokat. A felsorolt műveletek közé tartoznak az automatikusan vagy manuálisan végrehajtott szervizelési műveletek. Az automatikus támadáskimaradási műveleteket a Műveletközpontban tekintheti meg.

A művelet részleteit tartalmazó panelen felszabadíthatja a tartalmazott objektumokat, például engedélyezheti a letiltott felhasználói fiókokat, vagy felszabadíthat egy eszközt az elszigetelésből. A kockázat csökkentése és az incidens kivizsgálásának befejezése után felszabadíthatja a tartalmazott eszközöket. További információ a műveletközpontról: Műveletközpont.

Tipp.

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.

A speciális veszélyforrás-keresés műveleteinek nyomon követése

A speciális veszélyforrás-keresésben adott lekérdezésekkel nyomon követheti az eszköz vagy felhasználó adatait, és letilthatja a felhasználói fiókok műveleteit.

Keresés a tartalmazott műveletekre

A támadáskimaradás által aktivált műveleteket a speciális veszélyforrás-keresés DeviceEvents táblájában találja. Az alábbi lekérdezésekkel keresheti meg ezeket az adott tartalmaz műveleteket:

  • Az eszköz a következő műveleteket tartalmazza:
DeviceEvents
| where ActionType contains "ContainedDevice"
  • A felhasználó műveleteket tartalmaz:
DeviceEvents
| where ActionType contains "ContainedUser"

Felhasználói fiókműveletek letiltása

A támadások megszakadása a Microsoft Defender for Identity szervizelési műveletének funkcióját használja a fiókok letiltásához. A Defender for Identity alapértelmezés szerint a tartományvezérlő LocalSystem fiókját használja az összes javítási művelethez.

Az alábbi lekérdezés olyan eseményeket keres, ahol egy tartományvezérlő letiltotta a felhasználói fiókokat. Ez a lekérdezés az automatikus támadáskimaradás által letiltott felhasználói fiókokat is visszaadja, ha manuálisan aktiválja a fiók letiltását a Microsoft Defender XDR-ben:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

A fenti lekérdezés egy Microsoft Defender for Identity – Támadáskimaradás lekérdezésből lett módosítva.

További lépés