Az automatikus támadáskimaradási művelet részletei és eredményei
Érintett szolgáltatás:
- Microsoft Defender XDR
Amikor automatikus támadáskimaradás aktiválódik a Microsoft Defender XDR-ben, a sérült eszközök kockázatával és elszigetelési állapotával kapcsolatos részletek a folyamat során és után érhetők el. A részleteket az incidens oldalán tekintheti meg, amely a támadás teljes részleteit és a társított eszközök naprakész állapotát tartalmazza.
A Microsoft Defender XDR automatikus támadáskimaradása be van építve az incidensnézetben. Tekintse át az incidensgráfot a teljes támadási történet lekéréséhez, és értékelje a támadáskimaradás hatását és állapotát.
Íme néhány példa a kinézetére:
- A megszakított incidensek tartalmazzák a "Támadási zavar" címkét és az azonosított konkrét fenyegetéstípust (például zsarolóprogramot). Ha feliratkozik az incidensekkel kapcsolatos e-mail-értesítésekre, ezek a címkék is megjelennek az e-mailekben.
- Kiemelt értesítés az incidens címe alatt, amely azt jelzi, hogy az incidens megszakadt.
- A felfüggesztett felhasználók és a tartalmazott eszközök az állapotukat jelző címkével jelennek meg.
Ha felhasználói fiókot vagy eszközt szeretne felszabadítani az elszigetelésből, kattintson a tartalmazott objektumra, és kattintson az eszköz elszigeteléséből való felszabadítás elemre, vagy engedélyezze a felhasználót egy felhasználói fiók számára.
A Műveletközpont (https://security.microsoft.com/action-center) összefogja a szervizelési és válaszműveleteket az eszközökön, az e-mail-& az együttműködési tartalmakat és az identitásokat. A felsorolt műveletek közé tartoznak az automatikusan vagy manuálisan végrehajtott szervizelési műveletek. Az automatikus támadáskimaradási műveleteket a Műveletközpontban tekintheti meg.
A művelet részleteit tartalmazó panelen felszabadíthatja a tartalmazott objektumokat, például engedélyezheti a letiltott felhasználói fiókokat, vagy felszabadíthat egy eszközt az elszigetelésből. A kockázat csökkentése és az incidens kivizsgálásának befejezése után felszabadíthatja a tartalmazott eszközöket. További információ a műveletközpontról: Műveletközpont.
Tipp.
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
A speciális veszélyforrás-keresésben adott lekérdezésekkel nyomon követheti az eszköz vagy felhasználó adatait, és letilthatja a felhasználói fiókok műveleteit.
A támadáskimaradás által aktivált műveleteket a speciális veszélyforrás-keresés DeviceEvents táblájában találja. Az alábbi lekérdezésekkel keresheti meg ezeket az adott tartalmaz műveleteket:
- Az eszköz a következő műveleteket tartalmazza:
DeviceEvents
| where ActionType contains "ContainedDevice"
- A felhasználó műveleteket tartalmaz:
DeviceEvents
| where ActionType contains "ContainedUser"
A támadások megszakadása a Microsoft Defender for Identity szervizelési műveletének funkcióját használja a fiókok letiltásához. A Defender for Identity alapértelmezés szerint a tartományvezérlő LocalSystem fiókját használja az összes javítási művelethez.
Az alábbi lekérdezés olyan eseményeket keres, ahol egy tartományvezérlő letiltotta a felhasználói fiókokat. Ez a lekérdezés az automatikus támadáskimaradás által letiltott felhasználói fiókokat is visszaadja, ha manuálisan aktiválja a fiók letiltását a Microsoft Defender XDR-ben:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
A fenti lekérdezés egy Microsoft Defender for Identity – Támadáskimaradás lekérdezésből lett módosítva.