Szczegóły i wyniki akcji automatycznego zakłócenia ataku
Dotyczy:
- Microsoft Defender XDR
Gdy w usłudze Microsoft Defender XDR wyzwalane jest automatyczne zakłócenie ataku, szczegóły dotyczące ryzyka i stanu hermetyzowania zagrożonych zasobów są dostępne w trakcie procesu i po nim. Szczegóły można wyświetlić na stronie zdarzenia, która zawiera pełne szczegóły ataku i aktualny stan skojarzonych zasobów.
Automatyczne zakłócenie ataku XDR w usłudze Microsoft Defender jest wbudowane w widok zdarzeń. Przejrzyj wykres zdarzenia, aby uzyskać całą historię ataku i ocenić wpływ i stan zakłóceń ataku.
Oto kilka przykładów tego, jak to wygląda:
- Zdarzenia zakłócone obejmują tag "Zakłócenie ataku" i określony typ zagrożenia (tj. oprogramowanie wymuszające okup). Jeśli subskrybujesz powiadomienia e-mail o zdarzeniach, tagi te są również wyświetlane w wiadomościach e-mail.
- Wyróżnione powiadomienie poniżej tytułu zdarzenia wskazujące, że zdarzenie zostało zakłócone.
- Zawieszeni użytkownicy i zawarte urządzenia są wyświetlane z etykietą wskazującą ich stan.
Aby zwolnić konto użytkownika lub urządzenie z hermetyzowania, kliknij zawarty zasób i kliknij pozycję Zwolnij z zawartego urządzenia lub włącz użytkownika dla konta użytkownika.
Centrum akcji (https://security.microsoft.com/action-center) łączy akcje korygowania i reagowania na urządzeniach, pocztę e-mail & zawartość współpracy i tożsamości. Wymienione akcje obejmują akcje korygowania, które zostały wykonane automatycznie lub ręcznie. Możesz wyświetlić akcje automatycznego zakłócania ataków w Centrum akcji.
Możesz zwolnić zawarte zasoby, na przykład włączyć zablokowane konto użytkownika lub zwolnić urządzenie z blokady, w okienku szczegółów akcji. Możesz zwolnić zawarte zasoby po zminimalizowaniu ryzyka i zakończeniu badania zdarzenia. Aby uzyskać więcej informacji na temat centrum akcji, zobacz Centrum akcji.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
W zaawansowanym wyszukiwaniu można używać określonych zapytań do śledzenia urządzeń lub użytkowników oraz wyłączania akcji konta użytkownika.
Akcje zawierają wyzwalane przez zakłócenia ataku znajdują się w tabeli DeviceEvents w ramach zaawansowanego wyszukiwania zagrożeń. Użyj następujących zapytań, aby wyszukać te konkretne akcje zawierające:
- Urządzenie zawiera akcje:
DeviceEvents
| where ActionType contains "ContainedDevice"
- Użytkownik zawiera akcje:
DeviceEvents
| where ActionType contains "ContainedUser"
Zakłócenie ataku używa możliwości akcji korygowania usługi Microsoft Defender for Identity w celu wyłączenia kont. Usługa Defender for Identity domyślnie używa konta LocalSystem kontrolera domeny dla wszystkich akcji korygowania.
Poniższe zapytanie szuka zdarzeń, w których kontroler domeny wyłączył konta użytkowników. To zapytanie zwraca również konta użytkowników wyłączone przez automatyczne zakłócenie ataku przez ręczne wyłączenie konta w usłudze Microsoft Defender XDR:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Powyższe zapytanie zostało zaadaptowane z zapytania Microsoft Defender for Identity — Attack Disruption.