Сведения и результаты автоматического нарушения атаки
Область применения:
- Microsoft Defender XDR
При срабатывании автоматического прерывания атаки в XDR в Microsoft Defender сведения о риске и состоянии сдерживания скомпрометированных ресурсов становятся доступными во время и после процесса. Сведения можно просмотреть на странице инцидента, где содержатся полные сведения об атаке и актуальное состояние связанных ресурсов.
Просмотр графа инцидентов
Автоматическое прерывание атак XDR в Microsoft Defender встроено в представление инцидента. Просмотрите граф инцидентов, чтобы получить всю историю атаки и оценить влияние и состояние нарушения атаки.
Вот несколько примеров того, как это выглядит:
- Инциденты, которые были нарушены, включают тег "Нарушение атаки" и определенный тип угрозы (т. е. программа-шантажист). Если вы подписываетесь на уведомления по электронной почте об инцидентах, эти теги также отображаются в сообщениях электронной почты.
- Выделенное уведомление под заголовком инцидента, указывающее, что инцидент был нарушен.
- Приостановленные пользователи и автономные устройства отображаются с меткой, указывающей их состояние.
Чтобы освободить учетную запись пользователя или устройство от включения, щелкните автономный ресурс и щелкните Освобождение из автономной среды для устройства или включить пользователя для учетной записи пользователя.
Отслеживание действий в центре уведомлений
Центр уведомлений (https://security.microsoft.com/action-center) объединяет действия по исправлению и реагированию на устройствах, электронную почту & содержимое для совместной работы и удостоверения. Перечисленные действия включают действия по исправлению, которые были выполнены автоматически или вручную. Действия автоматического прерывания атаки можно просмотреть в центре уведомлений.
Вы можете освободить автономные ресурсы, например включить заблокированную учетную запись пользователя или освободить устройство из автономной среды, в области сведений о действии. Вы можете освободить автономные ресурсы после снижения риска и завершения расследования инцидента. Дополнительные сведения о центре уведомлений см. в разделе Центр уведомлений.
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.
Отслеживание действий в расширенной охоте
Вы можете использовать определенные запросы в расширенной охоте , чтобы отслеживать устройство или пользователя, а также отключать действия учетных записей пользователей.
Поиск действий для хранения
Действия, вызванные нарушением атаки, находятся в таблице DeviceEvents в расширенной охоте. Используйте следующие запросы для поиска этих конкретных действий contain:
- Устройства содержат действия:
DeviceEvents
| where ActionType contains "ContainedDevice"
- Действия, содержащие пользователя:
DeviceEvents
| where ActionType contains "ContainedUser"
Поиск действий по отключению учетных записей пользователей
Для прерывания атаки используется возможность действий по исправлению Microsoft Defender для удостоверений для отключения учетных записей. Defender для удостоверений по умолчанию использует учетную запись LocalSystem контроллера домена для всех действий по исправлению.
Следующий запрос ищет события, в которых контроллер домена отключил учетные записи пользователей. Этот запрос также возвращает учетные записи пользователей, отключенные автоматическим нарушением атаки, путем активации отключения учетной записи в XDR в Microsoft Defender вручную:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Приведенный выше запрос был адаптирован на основе запроса Microsoft Defender для удостоверений — нарушение атаки.