Detalhes e resultados de uma ação de interrupção automática de ataques
Aplica-se a:
- Microsoft Defender XDR
Quando uma interrupção automática de ataques é acionada no Microsoft Defender XDR, os detalhes sobre o risco e o estado de contenção dos recursos comprometidos estão disponíveis durante e após o processo. Pode ver os detalhes na página do incidente, que fornece todos os detalhes do ataque e o estado atualizado dos recursos associados.
A interrupção automática do ataque XDR do Microsoft Defender está incorporada na vista de incidente. Reveja o gráfico de incidentes para obter toda a história do ataque e avaliar o impacto e o estado da interrupção do ataque.
Eis alguns exemplos do aspeto:
- Os incidentes interrompidos incluem uma etiqueta para "Interrupção do Ataque" e o tipo de ameaça específico identificado (ou seja, ransomware). Se subscrever notificações por e-mail de incidentes, estas etiquetas também serão apresentadas nos e-mails.
- Uma notificação realçada abaixo do título do incidente que indica que o incidente foi interrompido.
- Os utilizadores suspensos e os dispositivos contidos são apresentados com uma etiqueta que indica o respetivo estado.
Para libertar uma conta de utilizador ou um dispositivo da contenção, clique no elemento contido e clique em libertar da contenção de um dispositivo ou ative o utilizador para uma conta de utilizador.
O Centro de ação (https://security.microsoft.com/action-center) reúne ações de remediação e resposta nos seus dispositivos, e-mail & conteúdo de colaboração e identidades. As ações listadas incluem ações de remediação que foram executadas automaticamente ou manualmente. Pode ver as ações de interrupção automática de ataques no Centro de ação.
Pode libertar os recursos contidos, por exemplo, ativar uma conta de utilizador bloqueada ou libertar um dispositivo da contenção, a partir do painel de detalhes da ação. Pode libertar os recursos contidos depois de mitigar o risco e concluir a investigação de um incidente. Para obter mais informações sobre o centro de ação, consulte Centro de ação.
Gorjeta
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Pode utilizar consultas específicas na investigação avançada para controlar a contenção de dispositivos ou utilizadores e desativar as ações da conta de utilizador.
Contêm ações acionadas por interrupção do ataque na tabela DeviceEvents na investigação avançada. Utilize as seguintes consultas para procurar estas ações específicas:
- O dispositivo contém ações:
DeviceEvents
| where ActionType contains "ContainedDevice"
- O utilizador contém ações:
DeviceEvents
| where ActionType contains "ContainedUser"
A interrupção do ataque utiliza a capacidade de ação de remediação do Microsoft Defender para Identidade para desativar as contas. O Defender para Identidade utiliza a conta LocalSystem do controlador de domínio por predefinição para todas as ações de remediação.
A consulta seguinte procura eventos em que um controlador de domínio desativou as contas de utilizador. Esta consulta também devolve contas de utilizador desativadas por interrupção automática de ataques ao acionar a desativação da conta no Microsoft Defender XDR manualmente:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
A consulta acima foi adaptada a partir de uma consulta do Microsoft Defender para Identidade – Interrupção de Ataques.