Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Szczegóły i wyniki akcji automatycznego zakłócenia ataku

Dotyczy:

  • Microsoft Defender XDR

Gdy w usłudze Microsoft Defender XDR wyzwalane jest automatyczne zakłócenie ataku, szczegóły dotyczące ryzyka i stanu hermetyzowania zagrożonych zasobów są dostępne w trakcie procesu i po nim. Szczegóły można wyświetlić na stronie zdarzenia, która zawiera pełne szczegóły ataku i aktualny stan skojarzonych zasobów.

Przejrzyj wykres zdarzenia

Automatyczne zakłócenie ataku XDR w usłudze Microsoft Defender jest wbudowane w widok zdarzeń. Przejrzyj wykres zdarzenia, aby uzyskać całą historię ataku i ocenić wpływ i stan zakłóceń ataku.

Oto kilka przykładów tego, jak to wygląda:

  • Zdarzenia zakłócone obejmują tag "Zakłócenie ataku" i określony typ zagrożenia (tj. oprogramowanie wymuszające okup). Jeśli subskrybujesz powiadomienia e-mail o zdarzeniach, tagi te są również wyświetlane w wiadomościach e-mail.
  • Wyróżnione powiadomienie poniżej tytułu zdarzenia wskazujące, że zdarzenie zostało zakłócone.
  • Zawieszeni użytkownicy i zawarte urządzenia są wyświetlane z etykietą wskazującą ich stan.

Aby zwolnić konto użytkownika lub urządzenie z hermetyzowania, kliknij zawarty zasób i kliknij pozycję Zwolnij z zawartego urządzenia lub włącz użytkownika dla konta użytkownika.

Śledzenie akcji w centrum akcji

Centrum akcji (https://security.microsoft.com/action-center) łączy akcje korygowania i reagowania na urządzeniach, pocztę e-mail & zawartość współpracy i tożsamości. Wymienione akcje obejmują akcje korygowania, które zostały wykonane automatycznie lub ręcznie. Możesz wyświetlić akcje automatycznego zakłócania ataków w Centrum akcji.

Możesz zwolnić zawarte zasoby, na przykład włączyć zablokowane konto użytkownika lub zwolnić urządzenie z blokady, w okienku szczegółów akcji. Możesz zwolnić zawarte zasoby po zminimalizowaniu ryzyka i zakończeniu badania zdarzenia. Aby uzyskać więcej informacji na temat centrum akcji, zobacz Centrum akcji.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

Śledzenie akcji w zaawansowanym polowaniu

W zaawansowanym wyszukiwaniu można używać określonych zapytań do śledzenia urządzeń lub użytkowników oraz wyłączania akcji konta użytkownika.

Wyszukiwanie akcji zawierających

Akcje zawierają wyzwalane przez zakłócenia ataku znajdują się w tabeli DeviceEvents w ramach zaawansowanego wyszukiwania zagrożeń. Użyj następujących zapytań, aby wyszukać te konkretne akcje zawierające:

  • Urządzenie zawiera akcje:
DeviceEvents
| where ActionType contains "ContainedDevice"
  • Użytkownik zawiera akcje:
DeviceEvents
| where ActionType contains "ContainedUser"

Wyszukiwanie wyłączania akcji konta użytkownika

Zakłócenie ataku używa możliwości akcji korygowania usługi Microsoft Defender for Identity w celu wyłączenia kont. Usługa Defender for Identity domyślnie używa konta LocalSystem kontrolera domeny dla wszystkich akcji korygowania.

Poniższe zapytanie szuka zdarzeń, w których kontroler domeny wyłączył konta użytkowników. To zapytanie zwraca również konta użytkowników wyłączone przez automatyczne zakłócenie ataku przez ręczne wyłączenie konta w usłudze Microsoft Defender XDR:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

Powyższe zapytanie zostało zaadaptowane z zapytania Microsoft Defender for Identity — Attack Disruption.

Następny krok