Details en resultaten van een automatische aanvalsonderbrekingsactie
Van toepassing op:
- Microsoft Defender XDR
Wanneer een automatische aanvalsonderbreking wordt geactiveerd in Microsoft Defender XDR, zijn de details over het risico en de insluitingsstatus van gecompromitteerde assets beschikbaar tijdens en na het proces. U kunt de details bekijken op de incidentpagina, die de volledige details van de aanval en de up-to-date status van gekoppelde assets bevat.
Automatische aanvalsonderbreking van Microsoft Defender XDR is ingebouwd in de incidentweergave. Bekijk de incidentgrafiek om het hele aanvalsverhaal op te halen en de impact en status van de aanvalsonderbreking te beoordelen.
Hier volgen enkele voorbeelden van hoe het eruitziet:
- Verstoorde incidenten omvatten een tag voor 'Attack Disruption' en het specifieke bedreigingstype dat is geïdentificeerd (bijvoorbeeld ransomware). Als u zich abonneert op e-mailmeldingen voor incidenten, worden deze tags ook weergegeven in de e-mailberichten.
- Een gemarkeerde melding onder de titel van het incident die aangeeft dat het incident is onderbroken.
- Onderbroken gebruikers en ingesloten apparaten worden weergegeven met een label dat hun status aangeeft.
Als u een gebruikersaccount of een apparaat wilt vrijgeven van insluiting, klikt u op de ingesloten asset en klikt u op Vrijgeven van insluiting voor een apparaat of schakelt u een gebruiker in voor een gebruikersaccount.
Het actiecentrum (https://security.microsoft.com/action-center) brengt herstel- en reactieacties op al uw apparaten, e-mail & samenwerkingsinhoud en identiteiten samen. De vermelde acties omvatten herstelacties die automatisch of handmatig zijn uitgevoerd. U kunt automatische aanvalsonderbrekingsacties bekijken in het Actiecentrum.
U kunt de ingesloten assets vrijgeven, bijvoorbeeld een geblokkeerd gebruikersaccount inschakelen of een apparaat vrijgeven uit insluiting, vanuit het detailvenster van de actie. U kunt de ingesloten activa vrijgeven nadat u het risico hebt beperkt en het onderzoek van een incident hebt voltooid. Zie Actiecentrum voor meer informatie over het actiecentrum.
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
U kunt specifieke query's in geavanceerde opsporing gebruiken om het apparaat of de gebruiker bij te houden en gebruikersaccountacties uit te schakelen.
Bevattende acties die worden geactiveerd door aanvalsonderbreking worden gevonden in de tabel DeviceEvents in geavanceerde opsporing. Gebruik de volgende query's om te zoeken naar deze specifieke acties:
- Apparaat bevat acties:
DeviceEvents
| where ActionType contains "ContainedDevice"
- Gebruikers bevatten acties:
DeviceEvents
| where ActionType contains "ContainedUser"
Aanvalsonderbreking maakt gebruik van de herstelactie van Microsoft Defender for Identity om accounts uit te schakelen. Defender for Identity gebruikt standaard het LocalSystem-account van de domeincontroller voor alle herstelacties.
Met de volgende query wordt gezocht naar gebeurtenissen waarbij een domeincontroller gebruikersaccounts heeft uitgeschakeld. Deze query retourneert ook gebruikersaccounts die zijn uitgeschakeld door automatische aanvalsonderbreking door het uitschakelen van accounts in Microsoft Defender XDR handmatig te activeren:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
De bovenstaande query is aangepast op basis van een Microsoft Defender for Identity - Attack Disruption-query.