Detaljer og resultater av en automatisk angrepsavbruddshandling
Gjelder for:
- Microsoft Defender XDR
Når et automatisk angrepsavbrudd utløses i Microsoft Defender XDR, er detaljene om risikoen og innestrekksstatusen for kompromitterte ressurser tilgjengelige under og etter prosessen. Du kan vise detaljene på hendelsessiden, som gir alle detaljer om angrepet og den oppdaterte statusen for tilknyttede aktiva.
Automatisk angrepsavbrudd for Microsoft Defender XDR er innebygd i hendelsesvisningen. Se gjennom hendelsesgrafen for å få hele angrepshistorien og vurdere angrepsavbruddet og statusen.
Her er noen eksempler på hvordan det ser ut:
- Forstyrrede hendelser inkluderer en kode for "Attack Disruption" og den spesifikke trusseltypen identifisert (dvs. ransomware). Hvis du abonnerer på hendelses-e-postvarsler, vises disse kodene også i e-postmeldingene.
- Et uthevet varsel under hendelsestittelen som indikerer at hendelsen ble forstyrret.
- Suspenderte brukere og enheter som inneholder, vises med en etikett som angir statusen deres.
Hvis du vil frigi en brukerkonto eller enhet fra en innesiktet enhet, klikker du på den inneholdte ressursen og klikker frigi fra oppbevaring for en enhet eller aktiverer brukeren for en brukerkonto.
Handlingssenteret (https://security.microsoft.com/action-center) samler utbedrings - og svarhandlinger på tvers av enhetene dine, e-post & samarbeidsinnhold og identiteter. Handlinger som er oppført, omfatter utbedringshandlinger som ble utført automatisk eller manuelt. Du kan vise handlinger for automatiske angrepsavbrudd i handlingssenteret.
Du kan frigi de inneholdde ressursene, for eksempel aktivere en blokkert brukerkonto eller frigi en enhet fra innesperring, fra handlingsdetaljruten. Du kan frigi de inneholdte ressursene etter at du reduserer risikoen og fullfører undersøkelsen av en hendelse. Hvis du vil ha mer informasjon om handlingssenteret, kan du se Handlingssenter.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Du kan bruke bestemte spørringer i avansert jakt til å spore inneholder enhet eller bruker, og deaktivere brukerkontohandlinger.
Inneholder handlinger utløst av angrepsforstyrrelser finnes i DeviceEvents-tabellen i avansert jakt. Bruk følgende spørringer til å søke etter disse spesifikke inneholderhandlingene:
- Enhet inneholder handlinger:
DeviceEvents
| where ActionType contains "ContainedDevice"
- Bruker inneholder handlinger:
DeviceEvents
| where ActionType contains "ContainedUser"
Angrepsavbrudd bruker utbedringshandlingsfunksjonen til Microsoft Defender for identity til å deaktivere kontoer. Defender for Identity bruker LocalSystem-kontoen til domenekontrolleren som standard for alle utbedringshandlinger.
Følgende spørring ser etter hendelser der en domenekontroller deaktiverte brukerkontoer. Denne spørringen returnerer også brukerkontoer deaktivert av automatisk angrepsavbrudd ved å utløse kontodeaktivering i Microsoft Defender XDR manuelt:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Spørringen ovenfor ble tilpasset fra en spørring for Microsoft Defender for identitet – angrepsavbrudd.