Wykonaj akcje odpowiedzi na urządzeniu

  • Artykuł

Dotyczy:

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Szybkie reagowanie na wykryte ataki przez izolowanie urządzeń lub zbieranie pakietu badania. Po wykonaniu akcji na urządzeniach możesz sprawdzić szczegóły działania w Centrum akcji.

Akcje odpowiedzi są uruchamiane w górnej części określonej strony urządzenia i obejmują:

  • Zarządzaj tagami
  • Inicjowanie zautomatyzowanego badania
  • Inicjowanie sesji odpowiedzi na żywo
  • Zbieraj pakiet badań
  • Uruchomiono skanowanie antywirusowe
  • Ogranicz wykonanie aplikacji
  • Izolowanie urządzenia
  • Zawiera urządzenie
  • Konsultuj się z ekspertem ds. zagrożeń
  • Centrum akcji

Obraz akcji odpowiedzi.

Ważna

Usługa Defender for Endpoint Plan 1 obejmuje tylko następujące ręczne akcje reagowania:

  • Uruchomiono skanowanie antywirusowe
  • Izolowanie urządzenia
  • Zatrzymywanie i kwarantanna pliku
  • Dodaj wskaźnik, aby zablokować lub zezwolić na plik.

Microsoft Defender dla Firm obecnie nie zawiera akcji "Zatrzymaj i poddaj kwarantannie plik".

Twoja subskrypcja musi zawierać usługę Defender for Endpoint Plan 2, aby wszystkie akcje odpowiedzi zostały opisane w tym artykule.

Strony urządzeń można znaleźć w dowolnym z następujących widoków:

  • Kolejka alertów - z kolejki alertów wybierz nazwę urządzenia obok ikony urządzenia.
  • Lista urządzeń — wybierz nagłówek nazwy urządzenia z listy urządzeń.
  • Pole wyszukiwania - wybierz pozycję Urządzenie z menu rozwijanego i wprowadź nazwę urządzenia.

Ważna

Aby uzyskać informacje na temat dostępności i obsługi każdej akcji odpowiedzi, zapoznaj się z obsługiwanymi/minimalnymi wymaganiami systemu operacyjnego znalezionymi w ramach każdej funkcji.

Zarządzaj tagami

Dodaj tagi lub zarządzaj nimi, aby utworzyć przynależność do grupy logicznej. Tagi urządzeń obsługują prawidłowe mapowanie sieci, pozwalając na dołączanie różnych tagów w celu przechwycenia kontekstu i umożliwienia dynamicznego tworzenia listy w ramach zdarzenia.

Aby uzyskać więcej informacji na temat tagowania urządzeń, zobacz Twórca i zarządzanie tagami urządzeń.

Inicjowanie zautomatyzowanego badania

W razie potrzeby możesz rozpocząć nowe automatyczne badanie ogólnego przeznaczenia na urządzeniu. Gdy badanie jest uruchomione, wszelkie inne alerty wygenerowane na urządzeniu zostaną dodane do trwającego zautomatyzowanego badania do czasu zakończenia tego badania. Ponadto jeśli to samo zagrożenie jest widoczne na innych urządzeniach, te urządzenia zostaną dodane do badania.

Aby uzyskać więcej informacji na temat zautomatyzowanych badań, zobacz Omówienie zautomatyzowanych dochodzeń.

Inicjowanie sesji odpowiedzi na żywo

Odpowiedź na żywo to funkcja, która zapewnia natychmiastowy dostęp do urządzenia przy użyciu zdalnego połączenia powłoki. Daje to możliwość wykonywania szczegółowych działań dochodzeniowych i podejmowania natychmiastowych działań reagowania w celu szybkiego powstrzymania zidentyfikowanych zagrożeń w czasie rzeczywistym.

Reagowanie na żywo ma na celu usprawnienie badań dzięki umożliwieniu zbierania danych kryminalistycznych, uruchamiania skryptów, wysyłania podejrzanych jednostek do analizy, korygowania zagrożeń i proaktywnego wyszukiwania pojawiających się zagrożeń.

Aby uzyskać więcej informacji na temat odpowiedzi na żywo, zobacz Badanie jednostek na urządzeniach przy użyciu odpowiedzi na żywo.

Zbieranie pakietu badania z urządzeń

W ramach procesu badania lub odpowiedzi można zebrać pakiet badania z urządzenia. Zbierając pakiet badania, możesz zidentyfikować bieżący stan urządzenia i dokładniej zrozumieć narzędzia i techniki używane przez osobę atakującą.

Aby pobrać pakiet (plik Zip) i zbadać zdarzenia, które wystąpiły na urządzeniu:

  1. Wybierz pozycję Zbierz pakiet badania z wiersza akcji odpowiedzi w górnej części strony urządzenia.

  2. W polu tekstowym określ, dlaczego chcesz wykonać tę akcję. Wybierz pozycję Potwierdź.

  3. Plik zip jest pobierany.

Alternatywne kroki:

  1. Wybierz pozycję Collect Investigation Package (Zbierz pakiet badania ) w sekcji akcji odpowiedzi na stronie urządzenia.

    Obrazprzedstawiającyegoa

  2. Dodaj komentarze i wybierz pozycję Potwierdź.

    Obraz przedstawiający potwierdzenie komentarza

  3. Wybierz pozycję Centrum akcji w sekcji akcji odpowiedzi na stronie urządzenia.

    Obraz centrum akcji

  4. Kliknij dostępny pakiet kolekcji pakietów , aby pobrać pakiet kolekcji.

    Obraz przedstawiający pobieranie pakietu

    W przypadku urządzeń z systemem Windows pakiet zawiera następujące foldery:

    Folder Opis
    Autoruns Zawiera zestaw plików, z których każdy reprezentuje zawartość rejestru znanego punktu wejścia automatycznego (ASEP), aby ułatwić identyfikację trwałości osoby atakującej na urządzeniu.

    UWAGA: Jeśli klucz rejestru nie zostanie znaleziony, plik będzie zawierać następujący komunikat: "BŁĄD: System nie mógł odnaleźć określonego klucza lub wartości rejestru".
    Zainstalowane programy Ten plik .CSV zawiera listę zainstalowanych programów, które mogą pomóc w określeniu, co jest obecnie zainstalowane na urządzeniu. Aby uzyskać więcej informacji, zobacz klasa Win32_Product.
    Połączenia sieciowe Ten folder zawiera zestaw punktów danych związanych z informacjami o łączności, które mogą pomóc w identyfikowaniu łączności z podejrzanymi adresami URL, infrastruktury poleceń i kontroli osoby atakującej (C&C), wszelkich ruchów bocznych lub połączeń zdalnych.
    • ActiveNetConnections.txt: wyświetla statystyki protokołu i bieżące połączenia sieciowe TCP/IP. Umożliwia wyszukiwanie podejrzanych połączeń wykonanych przez proces.
    • Arp.txt: wyświetla bieżące tabele pamięci podręcznej protokołu rozpoznawania adresów (ARP) dla wszystkich interfejsów. Pamięć podręczna ARP może ujawnić inne hosty w sieci, które zostały naruszone lub podejrzane systemy w sieci, które mogły zostać użyte do uruchomienia ataku wewnętrznego.
    • DnsCache.txt: wyświetla zawartość pamięci podręcznej programu rozpoznawania nazw klienta DNS, która obejmuje zarówno wpisy wstępnie załadowane z lokalnego pliku hostów, jak i wszystkie ostatnio uzyskane rekordy zasobów dla zapytań nazw rozpoznawanych przez komputer. Może to pomóc w identyfikowaniu podejrzanych połączeń.
    • IpConfig.txt: wyświetla pełną konfigurację protokołu TCP/IP dla wszystkich kart. Karty mogą reprezentować interfejsy fizyczne, takie jak zainstalowane karty sieciowe lub interfejsy logiczne, takie jak połączenia telefoniczne.
    • FirewallExecutionLog.txt i pfirewall.log

    UWAGA: Plik pfirewall.log musi istnieć w pliku %windir%\system32\logfiles\firewall\pfirewall.log, więc zostanie uwzględniony w pakiecie badania. Aby uzyskać więcej informacji na temat tworzenia pliku dziennika zapory, zobacz Konfigurowanie zapory Windows Defender z zaawansowanym dziennikiem zabezpieczeń
    Pliki wstępne Pliki prefetch systemu Windows zostały zaprojektowane w celu przyspieszenia procesu uruchamiania aplikacji. Może służyć do śledzenia wszystkich plików ostatnio używanych w systemie i znajdowania śladów dla aplikacji, które mogły zostać usunięte, ale nadal można je znaleźć na wstępnej liście plików.
    • Folder prefetch: zawiera kopię plików prefetch z %SystemRoot%\Prefetchprogramu . UWAGA: Zaleca się pobranie podglądu plików wstępnych w celu wyświetlenia plików wstępnych.
    • PrefetchFilesList.txt: zawiera listę wszystkich skopiowanych plików, których można użyć do śledzenia, jeśli wystąpiły błędy kopiowania do folderu wstępnego.
    Procesów Zawiera plik .CSV zawierający listę uruchomionych procesów i umożliwia identyfikowanie bieżących procesów uruchomionych na urządzeniu. Może to być przydatne podczas identyfikowania podejrzanego procesu i jego stanu.
    Zaplanowane zadania Zawiera plik .CSV zawierający listę zaplanowanych zadań, które mogą służyć do identyfikowania procedur wykonywanych automatycznie na wybranym urządzeniu w celu wyszukiwania podejrzanego kodu, który został skonfigurowany do automatycznego uruchamiania.
    Dziennik zdarzeń zabezpieczeń Zawiera dziennik zdarzeń zabezpieczeń, który zawiera rekordy aktywności logowania lub wylogowania lub inne zdarzenia związane z zabezpieczeniami określone przez zasady inspekcji systemu.

    UWAGA: Otwórz plik dziennika zdarzeń przy użyciu przeglądarki zdarzeń.
    Usługi Zawiera plik .CSV, który zawiera listę usług i ich stanów.
    Sesje bloku komunikatów systemu Windows Server (SMB) Listy współużytkowany dostęp do plików, drukarek i portów szeregowych oraz różnej komunikacji między węzłami w sieci. Może to pomóc w identyfikacji eksfiltracji danych lub przenoszenia bocznego.

    Zawiera pliki dla SMBInboundSessions i SMBOutboundSession.

    UWAGA: Jeśli nie ma żadnych sesji (przychodzących lub wychodzących), otrzymasz plik tekstowy informujący o braku znalezionych sesji SMB.
    Informacje o systemie Zawiera plik SystemInformation.txt zawierający informacje o systemie, takie jak wersja systemu operacyjnego i karty sieciowe.
    Katalogi tymczasowe Zawiera zestaw plików tekstowych zawierający listę plików znajdujących się w %Temp% dla każdego użytkownika w systemie.

    Może to pomóc w śledzeniu podejrzanych plików, które osoba atakująca mogła porzucić w systemie.

    UWAGA: Jeśli plik zawiera następujący komunikat: "System nie może odnaleźć określonej ścieżki", oznacza to, że nie ma katalogu tymczasowego dla tego użytkownika i może to być spowodowane tym, że użytkownik nie zalogował się do systemu.
    Użytkownicy i grupy Zawiera listę plików, z których każdy reprezentuje grupę i jej członków.
    Dzienniki WdSupportLogs Udostępnia MpCmdRunLog.txt i MPSupportFiles.cab

    UWAGA: Ten folder zostanie utworzony tylko w Windows 10 w wersji 1709 lub nowszej z pakietem zbiorczym aktualizacji z lutego 2020 r. lub nowszym zainstalowanym:
    • Kompilacja Win10 1709 (RS3) 16299.1717: KB4537816
    • Win10 1803 (RS4) Kompilacja 17134.1345: KB4537795
    • Kompilacja Win10 1809 (RS5) 17763.1075: KB4537818
    • Win10 1903/1909 (19h1/19h2) Kompilacje 18362.693 i 18363.693: KB4535996
    CollectionSummaryReport.xls Ten plik jest podsumowaniem kolekcji pakietów badania, zawiera listę punktów danych, polecenie używane do wyodrębniania danych, stan wykonywania i kod błędu w przypadku niepowodzenia. Ten raport służy do śledzenia, czy pakiet zawiera wszystkie oczekiwane dane i określenia, czy wystąpiły błędy.

    Pakiety kolekcji dla urządzeń z systemami macOS i Linux zawierają następujące elementy:

    Obiektu macOS Linux
    Aplikacje Lista wszystkich zainstalowanych aplikacji Nie dotyczy
    Wolumin dysku
    • Ilość wolnego miejsca
    • Lista wszystkich zainstalowanych woluminów dysków
    • Lista wszystkich partycji
    • Ilość wolnego miejsca
    • Lista wszystkich zainstalowanych woluminów dysków
    • Lista wszystkich partycji
    Plik Lista wszystkich otwartych plików z odpowiednimi procesami korzystającymi z tych plików Lista wszystkich otwartych plików z odpowiednimi procesami korzystającymi z tych plików
    Historia Historia powłoki Nie dotyczy
    Moduły jądra Wszystkie załadowane moduły Nie dotyczy
    Połączenia sieciowe
    • Aktywne połączenia
    • Aktywne połączenia nasłuchiwania
    • Tabela ARP
    • Reguły zapory
    • Konfiguracja interfejsu
    • Ustawienia serwera proxy
    • Ustawienia sieci VPN
    • Aktywne połączenia
    • Aktywne połączenia nasłuchiwania
    • Tabela ARP
    • Reguły zapory
    • Lista adresów IP
    • Ustawienia serwera proxy
    Procesów Lista wszystkich uruchomionych procesów Lista wszystkich uruchomionych procesów
    Usługi i zaplanowane zadania
    • Certyfikaty
    • Profile konfiguracji
    • Informacje o sprzęcie
    • Szczegóły procesora CPU
    • Informacje o sprzęcie
    • Informacje o systemie operacyjnym
    Informacje o zabezpieczeniach systemu
    • Informacje o integralności rozszerzonego interfejsu oprogramowania układowego (EFI)
    • Stan zapory
    • Informacje o narzędziu do usuwania złośliwego oprogramowania (MRT)
    • Stan ochrony integralności systemu (SIP)
    		 Nie dotyczy
    Użytkownicy i grupy
    • Historia logowania
    • Sudoers
    • Historia logowania
    • Sudoers

Uruchamianie skanowania programu antywirusowego Microsoft Defender na urządzeniach

W ramach procesu badania lub reagowania można zdalnie zainicjować skanowanie antywirusowe, aby ułatwić identyfikowanie i korygowanie złośliwego oprogramowania, które może znajdować się na urządzeniu, których zabezpieczenia zostały naruszone.

Ważna

  • Ta akcja jest obsługiwana w systemach macOS i Linux dla klienta w wersji 101.98.84 lub nowszej. Możesz również użyć odpowiedzi na żywo, aby uruchomić akcję. Aby uzyskać więcej informacji na temat odpowiedzi na żywo, zobacz Badanie jednostek na urządzeniach przy użyciu odpowiedzi na żywo
  • Skanowanie programu antywirusowego Microsoft Defender może być uruchamiane wraz z innymi rozwiązaniami antywirusowymi, niezależnie od tego, czy program antywirusowy Microsoft Defender jest aktywnym rozwiązaniem antywirusowym. Microsoft Defender program antywirusowy może być w trybie pasywnym. Aby uzyskać więcej informacji, zobacz Microsoft Defender Zgodność z programem antywirusowym.

Wybierz opcję Uruchom skanowanie antywirusowe, wybierz typ skanowania, który chcesz uruchomić (szybkie lub pełne), a następnie dodaj komentarz przed potwierdzeniem skanowania.

Powiadomienie umożliwiające wybranie szybkiego skanowania lub pełnego skanowania i dodanie komentarza

Centrum akcji wyświetli informacje o skanowaniu, a oś czasu urządzenia będzie zawierać nowe zdarzenie, co odzwierciedla, że akcja skanowania została przesłana na urządzeniu. Microsoft Defender alerty antywirusowe będą odzwierciedlać wszelkie wykrycia, które pojawiły się podczas skanowania.

Uwaga

Podczas wyzwalania skanowania przy użyciu akcji odpowiedzi usługi Defender for Endpoint Microsoft Defender wartość "ScanAvgCPULoadFactor" w programie antywirusowym nadal ma zastosowanie i ogranicza wpływ skanowania na procesor CPU. Jeśli funkcja ScanAvgCPULoadFactor nie jest skonfigurowana, wartość domyślna to limit maksymalnego obciążenia procesora CPU wynoszący 50% podczas skanowania. Aby uzyskać więcej informacji, zobacz configure-advanced-scan-types-microsoft-defender-antivirus.

Ogranicz wykonanie aplikacji

Oprócz powstrzymania ataku przez zatrzymanie złośliwych procesów można również zablokować urządzenie i zapobiec kolejnym próbom uruchomienia potencjalnie złośliwych programów.

Ważna

  • Ta akcja jest dostępna dla urządzeń z systemem Windows 10 w wersji 1709 lub nowszej, Windows 11 i Windows Server 2019 lub nowszym.
  • Ta funkcja jest dostępna, jeśli organizacja używa programu antywirusowego Microsoft Defender.
  • Ta akcja musi spełniać Windows Defender formaty zasad integralności kodu kontroli aplikacji i wymagania dotyczące podpisywania. Aby uzyskać więcej informacji, zobacz Formaty zasad integralności kodu i podpisywanie).

Aby ograniczyć uruchamianie aplikacji, stosowane są zasady integralności kodu, które zezwalają na uruchamianie plików tylko wtedy, gdy są podpisane przez certyfikat wystawiony przez firmę Microsoft. Ta metoda ograniczenia może pomóc uniemożliwić atakującemu kontrolowanie naruszeń urządzeń i wykonywanie dalszych złośliwych działań.

Uwaga

W dowolnym momencie będzie można odwrócić ograniczenie uruchamiania aplikacji. Przycisk na stronie urządzenia zmieni się na Usuń ograniczenia aplikacji, a następnie wykonasz te same kroki, co ograniczenie wykonywania aplikacji.

Po wybraniu pozycji Ogranicz wykonywanie aplikacji na stronie urządzenia wpisz komentarz i wybierz pozycję Potwierdź. Centrum akcji wyświetli informacje o skanowaniu, a oś czasu urządzenia będzie zawierać nowe zdarzenie.

Powiadomienie o ograniczeniu aplikacji

Powiadomienie użytkownika urządzenia

Gdy aplikacja jest ograniczona, zostanie wyświetlone następujące powiadomienie informujące użytkownika, że aplikacja jest ograniczona do uruchamiania:

Komunikat o ograniczeniu aplikacji

Uwaga

Powiadomienie nie jest dostępne w Windows Server 2016 i Windows Server 2012 R2.

Izoluj urządzenia z sieci

W zależności od ważności ataku i poufności urządzenia możesz chcieć odizolować urządzenie od sieci. Ta akcja może uniemożliwić atakującemu kontrolowanie urządzenia, które zostało naruszone, i wykonywanie dalszych działań, takich jak eksfiltracja danych i przenoszenie boczne.

Ważna

  • Izolowanie urządzeń z sieci jest obsługiwane w systemie macOS dla klienta w wersji 101.98.84 lub nowszej. Możesz również użyć odpowiedzi na żywo, aby uruchomić akcję. Aby uzyskać więcej informacji na temat odpowiedzi na żywo, zobacz Badanie jednostek na urządzeniach przy użyciu odpowiedzi na żywo
  • Pełna izolacja jest dostępna dla urządzeń z systemem Windows 11, Windows 10, wersja 1703 lub nowsza, Windows Server 2022, Windows Server 2019, Windows Server 2016 i Windows Server 2012 R2.
  • Można użyć funkcji izolacji urządzeń we wszystkich obsługiwanych Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux wymienionych w temacie Wymagania systemowe. Upewnij się, że są włączone następujące wymagania wstępne: iptables, ip6tables i jądro systemu Linux z CONFIG_NETFILTER, CONFID_IP_NF_IPTABLES i CONFIG_IP_NF_MATCH_OWNER.
  • Selektywna izolacja jest dostępna dla urządzeń z systemem Windows 10 w wersji 1709 lub nowszej i Windows 11.
  • Podczas izolowania urządzenia dozwolone są tylko niektóre procesy i miejsca docelowe. W związku z tym urządzenia, które znajdują się za pełnym tunelem SIECI VPN, nie będą mogły uzyskać dostępu do Ochrona punktu końcowego w usłudze Microsoft Defender usługi w chmurze po odizolowaniu urządzenia. Zalecamy używanie sieci VPN tunelowania podzielonego na potrzeby ruchu związanego z ochroną opartą na chmurze Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender antywirusowego.
  • Funkcja obsługuje połączenie sieci VPN.
  • Musisz mieć co najmniej jedno z następujących uprawnień roli: "Aktywne akcje korygowania". Aby uzyskać więcej informacji, zobacz Twórca i zarządzanie rolami.
  • Musisz mieć dostęp do urządzenia na podstawie ustawień grupy urządzeń. Aby uzyskać więcej informacji, zobacz Twórca i zarządzanie grupami urządzeń.
  • Wykluczenie zarówno dla izolacji systemu macOS, jak i Linux nie jest obsługiwane.
  • Izolowane urządzenie jest usuwane z izolacji, gdy administrator modyfikuje lub dodaje nową regułę iptable do izolowanego urządzenia.
  • Izolowanie serwera działającego na Microsoft Hyper-V blokuje ruch sieciowy do wszystkich podrzędnych maszyn wirtualnych serwera.

Ta funkcja izolacji urządzenia odłącza urządzenie, którego zabezpieczenia zostały naruszone, z siecią, zachowując jednocześnie łączność z usługą Defender for Endpoint, która nadal monitoruje urządzenie.

W Windows 10 w wersji 1709 lub nowszej będziesz mieć większą kontrolę nad poziomem izolacji sieci. Możesz również włączyć łączność z programami Outlook, Microsoft Teams i Skype dla firm (np. "Izolacja selektywna").

Uwaga

W dowolnym momencie będzie można ponownie połączyć urządzenie z siecią. Przycisk na stronie urządzenia zmieni się na Zwolnij z izolacji, a następnie wykonasz te same kroki, co izolowanie urządzenia.

Po wybraniu pozycji Wyizoluj urządzenie na stronie urządzenia wpisz komentarz i wybierz pozycję Potwierdź. Centrum akcji wyświetli informacje o skanowaniu, a oś czasu urządzenia będzie zawierać nowe zdarzenie.

Strona szczegółów izolowanego urządzenia

Uwaga

Urządzenie pozostanie połączone z usługą Defender for Endpoint, nawet jeśli jest odizolowane od sieci. Jeśli wybrano opcję włączenia programu Outlook i Skype dla firm komunikacji, będzie można komunikować się z użytkownikiem, gdy urządzenie jest izolowane. Selektywna izolacja działa tylko w klasycznych wersjach aplikacji Outlook i Microsoft Teams.

Wymuszone zwolnienie urządzenia z izolacji

Funkcja izolacji urządzeń jest nieocenionym narzędziem do ochrony urządzeń przed zagrożeniami zewnętrznymi. Istnieją jednak wystąpienia, gdy izolowane urządzenia przestają odpowiadać.
Istnieje skrypt do pobrania dla tych wystąpień, który można uruchomić, aby wymusić zwolnienie urządzeń z izolacji. Skrypt jest dostępny za pośrednictwem linku w interfejsie użytkownika.

Uwaga

  • Administratorzy i zarządzanie ustawieniami zabezpieczeń w uprawnieniach usługi Security Center mogą wymusić zwolnienie urządzeń z izolacji.
  • Skrypt jest prawidłowy tylko dla określonego urządzenia.
  • Skrypt wygaśnie za trzy dni.

Aby wymusić zwolnienie urządzenia z izolacji:

  1. Na stronie urządzenia wybierz pozycję Pobierz skrypt, aby wymusić zwolnienie urządzenia z izolacji z menu akcji.
  2. W kreatorze po prawej stronie wybierz pozycję Pobierz skrypt.

Minimalne wymagania

Minimalne wymagania dotyczące funkcji "wymuszonego zwolnienia urządzenia z izolacji" to:

  • Obsługuje tylko system Windows
  • Obsługiwane są następujące wersje systemu Windows:
    • Windows 10 21H2 i 22H2 z kb KB5023773
    • Windows 11 wersji 21H2, wszystkie wersje z KB5023774
    • Windows 11 wersji 22H2, wszystkie wersje z KB5023778

Powiadomienie użytkownika urządzenia

Gdy urządzenie jest izolowane, zostanie wyświetlone następujące powiadomienie informujące użytkownika, że urządzenie jest odizolowane od sieci:

Komunikat o braku połączenia sieciowego

Uwaga

Powiadomienie nie jest dostępne na platformach innych niż Windows.

Zawiera urządzenia z sieci

Po zidentyfikowaniu niezarządzanego urządzenia, które zostało naruszone lub potencjalnie naruszone, możesz chcieć włączyć to urządzenie z sieci. Jeśli zawierasz urządzenie, wszelkie Ochrona punktu końcowego w usłudze Microsoft Defender dołączone urządzenie zablokuje komunikację przychodzącą i wychodzącą z tym urządzeniem. Ta akcja może pomóc zapobiec zagrożeniom na sąsiednich urządzeniach, gdy analityk operacji zabezpieczeń lokalizuje, identyfikuje i koryguje zagrożenie na urządzeniu, których zabezpieczenia zostały naruszone.

Uwaga

Blokowanie komunikacji przychodzącej i wychodzącej z "zawartym" urządzeniem jest obsługiwane na dołączonych urządzeniach Ochrona punktu końcowego w usłudze Microsoft Defender Windows 10 i Windows Server 2019+.

Jak zawierać urządzenie

  1. Przejdź do strony Spis urządzeń i wybierz urządzenie, które ma zostać zawarte.

  2. Wybierz pozycję Zawiera urządzenie z menu akcji w wysuwanym urządzeniu.

    Zrzut ekranu przedstawiający komunikat podręczny zawierający urządzenie.

  3. W wyskakującym okienku zawierającym urządzenie wpisz komentarz i wybierz pozycję Potwierdź.

Zrzut ekranu przedstawiający element menu zawiera urządzenie.

Zawiera urządzenie ze strony urządzenia

Urządzenie może być również zawarte na stronie urządzenia, wybierając pozycję Zawiera urządzenie na pasku akcji:

Zrzut ekranu przedstawiający element menu zawiera urządzenie na stronie urządzenia.

Uwaga

Dotarcie do Ochrona punktu końcowego w usłudze Microsoft Defender dołączonych urządzeń może potrwać do 5 minut.

Ważna

  • Jeśli zawarte urządzenie zmieni swój adres IP, wszystkie Ochrona punktu końcowego w usłudze Microsoft Defender dołączone urządzenia rozpoznają to i zaczną blokować komunikację z nowym adresem IP. Oryginalny adres IP nie będzie już blokowany (wyświetlenie tych zmian może potrwać do 5 minut).
  • W przypadkach, gdy adres IP zawartego urządzenia jest używany przez inne urządzenie w sieci, podczas przechowywania urządzenia zostanie wyświetlone ostrzeżenie z linkiem do zaawansowanego wyszukiwania zagrożeń (z wstępnie wypełnionym zapytaniem). Zapewni to wgląd w inne urządzenia korzystające z tego samego adresu IP, aby ułatwić podjęcie świadomej decyzji, jeśli chcesz nadal zawierać urządzenie.
  • W przypadkach, gdy zawarte urządzenie jest urządzeniem sieciowym, zostanie wyświetlone ostrzeżenie z komunikatem, że może to spowodować problemy z łącznością sieciową (na przykład zawierające router, który działa jako brama domyślna). W tym momencie będzie można wybrać, czy ma zawierać urządzenie, czy nie.

Jeśli po utworzeniu urządzenia zachowanie nie jest zgodne z oczekiwaniami, sprawdź, czy usługa Podstawowa aparat filtrowania (BFE) jest włączona na urządzeniach dołączonych do usługi Defender for Endpoint.

Przestań zawierać urządzenie

W dowolnym momencie będzie można przestać zawierać urządzenie.

  1. Wybierz urządzenie ze spisu urządzeń lub otwórz stronę urządzenia.

  2. Z menu akcji wybierz pozycję Zwolnij z zawartego elementu. Ta akcja spowoduje przywrócenie połączenia tego urządzenia z siecią.

Zawiera użytkownika z sieci

Jeśli tożsamość w sieci może zostać naruszona, należy uniemożliwić dostęp tej tożsamości do sieci i różnych punktów końcowych. Usługa Defender for Endpoint może "zawierać" tożsamość, blokując jej dostęp i pomagając zapobiegać atakom — w szczególności oprogramowania wymuszającego okup. Gdy tożsamość jest zawarta, wszystkie obsługiwane Ochrona punktu końcowego w usłudze Microsoft Defender dołączone urządzenie zablokuje ruch przychodzący w określonych protokołach związanych z atakami (logowanie do sieci, RPC, SMB, RDP), zakończy trwające sesje zdalne i wyloguje istniejące połączenia RDP (przerywając samą sesję, w tym wszystkie powiązane procesy), jednocześnie włączając legalny ruch. Ta akcja może znacznie pomóc w zmniejszeniu wpływu ataku. Gdy tożsamość jest zawarta, analitycy operacji zabezpieczeń mają dodatkowy czas na zlokalizowanie, zidentyfikowanie i skorygowanie zagrożenia dla naruszonej tożsamości.

Uwaga

Blokowanie komunikacji przychodzącej z użytkownikiem "zawartym" jest obsługiwane na dołączonych urządzeniach Ochrona punktu końcowego w usłudze Microsoft Defender Windows 10 i 11 (sense w wersji 8740 lub nowszej), urządzeniach z systemem Windows Server 2019+ oraz systemach Windows Server 2012R2 i 2016 z nowoczesnym agentem.

Jak zawierać użytkownika

Obecnie dostęp do użytkowników jest dostępny automatycznie tylko przy użyciu automatycznego zakłócania ataków. Gdy firma Microsoft wykryje użytkownika jako naruszona, zasady "Zawierają użytkownika" są ustawiane automatycznie.

Wyświetlanie akcji zawierających użytkowników

Po utworzeniu użytkownika możesz wyświetlić akcję w tym widoku Historia Centrum akcji. W tym miejscu możesz zobaczyć, kiedy wystąpiła akcja i którzy użytkownicy w organizacji byli w niej zamknięci:

Wyświetlanie użytkownika zawierającego akcję w centrum akcji

Ponadto po uznaniu tożsamości za "zawartą" użytkownik zostanie zablokowany przez usługę Defender for Endpoint i nie będzie mógł wykonać żadnego złośliwego ruchu bocznego ani zdalnego szyfrowania na urządzeniu dołączonym do usługi Defender for Endpoint ani na żadnym obsługiwanym urządzeniu dołączonym do usługi Defender for Endpoint. Te bloki będą wyświetlane jako alerty ułatwiające szybkie zobaczenie urządzeń, do których użytkownik próbował uzyskać dostęp, i potencjalne techniki ataku:

Pokazuje, że użytkownik zawiera zdarzenie bloku ruchu bocznego

Cofanie zawiera akcje użytkownika

Bloki i hermetyzację można zwolnić dla użytkownika w dowolnym momencie:

  1. Wybierz akcję Zawiera użytkownika w Centrum akcji. W okienku bocznym wybierz pozycję Cofnij
  2. Wybierz użytkownika ze spisu użytkowników, okienka po stronie zdarzenia lub okienka po stronie alertu, a następnie wybierz pozycję Cofnij

Ta akcja spowoduje przywrócenie połączenia tego użytkownika z siecią.

Pokazuje, że użytkownik zawiera opcję cofania w centrum akcji

Możliwości badania za pomocą funkcji Contain User

Po utworzeniu użytkownika możesz zbadać potencjalne zagrożenie, wyświetlając zablokowane akcje przez naruszony użytkownik. W widoku Oś czasu urządzenia można zobaczyć informacje o określonych zdarzeniach, w tym o stopniach szczegółowości protokołu i interfejsu oraz skojarzonej z nim odpowiedniej technice MITRE.

Pokazuje zablokowane szczegóły zdarzenia dla zawartych użytkowników

Ponadto możesz rozszerzyć badanie przy użyciu zaawansowanego wyszukiwania zagrożeń. W tabeli "DeviceEvents" poszukaj dowolnego typu akcji rozpoczynającego się ciągiem "Contain". Następnie możesz wyświetlić wszystkie różne pojedyncze zdarzenia blokowania w odniesieniu do pozycji Zawieraj użytkownika w dzierżawie, dokładniej zapoznać się z kontekstem każdego bloku i wyodrębnić różne jednostki i techniki skojarzone z tymi zdarzeniami.

Pokazuje zaawansowane wyszukiwanie zagrożeń dla zdarzeń zawierających użytkowników

Konsultuj się z ekspertem ds. zagrożeń

Możesz skontaktować się z ekspertem ds. zagrożeń firmy Microsoft, aby uzyskać więcej szczegółowych informacji na temat urządzenia, które zostało potencjalnie naruszone lub które zostało już naruszone. Microsoft Threat Experts mogą być zaangażowane bezpośrednio z Microsoft Defender XDR w celu terminowego i dokładnego reagowania. Eksperci udostępniają szczegółowe informacje nie tylko dotyczące potencjalnie zagrożonego urządzenia, ale także w celu lepszego zrozumienia złożonych zagrożeń, otrzymywanych powiadomień o ukierunkowanych atakach lub jeśli potrzebujesz więcej informacji o alertach lub kontekstu analizy zagrożeń widocznego na pulpicie nawigacyjnym portalu.

Szczegółowe informacje można znaleźć w temacie Consult a Microsoft Threat Expert (Zapoznaj się z ekspertem ds. zagrożeń firmy Microsoft ).

Sprawdź szczegóły aktywności w Centrum akcji

Centrum akcji zawiera informacje o akcjach wykonywanych na urządzeniu lub pliku. Będzie można wyświetlić następujące szczegóły:

  • Badanie kolekcji pakietów
  • Skanowanie antywirusowe
  • Ograniczenie aplikacji
  • Izolacja urządzenia

Wyświetlane są również wszystkie inne powiązane szczegóły, na przykład data/godzina przesłania, przesyłanie użytkownika oraz czy akcja zakończyła się pomyślnie lub nie powiodła się.

Centrum akcji z informacjami

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.