Information och resultat av en automatisk attackstörningsåtgärd
Gäller för:
- Microsoft Defender XDR
När en automatisk attackstörning utlöses i Microsoft Defender XDR finns information om risken och inneslutningsstatusen för komprometterade tillgångar tillgängliga under och efter processen. Du kan visa information på incidentsidan, som innehåller fullständig information om attacken och aktuell status för associerade tillgångar.
Automatiska angreppsstörningar i Microsoft Defender XDR är inbyggda i incidentvyn. Granska incidentdiagrammet för att få hela attackberättelsen och utvärdera påverkan och status för attackstörningar.
Här följer några exempel på hur det ser ut:
- Incidenter som har störts inkluderar en tagg för "attackavbrott" och den specifika hottyp som identifierats (dvs. utpressningstrojaner). Om du prenumererar på e-postaviseringar för incidenter visas även dessa taggar i e-postmeddelandena.
- Ett markerat meddelande under incidentrubriken som anger att incidenten avbröts.
- Inaktiverade användare och inneslutna enheter visas med en etikett som anger deras status.
Om du vill frigöra ett användarkonto eller en enhet från inneslutning klickar du på den inneslutna tillgången och klickar på Släpp från inneslutning för en enhet eller aktiverar användare för ett användarkonto.
Åtgärdscentret (https://security.microsoft.com/action-center) samlar åtgärder för reparation och svar på dina enheter, e-post & samarbetsinnehåll och identiteter. Åtgärderna i listan omfattar åtgärder som har vidtagits automatiskt eller manuellt. Du kan visa automatiska åtgärder för attackstörningar i Åtgärdscenter.
Du kan frigöra de inneslutna tillgångarna, till exempel aktivera ett blockerat användarkonto eller frigöra en enhet från inneslutning från åtgärdsinformationsfönstret. Du kan frigöra de inneslutna tillgångarna när du har minimerat risken och slutför undersökningen av en incident. Mer information om åtgärdscentret finns i Åtgärdscenter.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Du kan använda specifika frågor i avancerad jakt för att spåra innehållsenhet eller användare och inaktivera åtgärder för användarkonton.
Contain actions triggered by attack disruption (Innehåller åtgärder som utlöses av attackstörningar) finns i tabellen DeviceEvents i avancerad jakt. Använd följande frågor för att söka efter dessa specifika contain-åtgärder:
- Enheten innehåller åtgärder:
DeviceEvents
| where ActionType contains "ContainedDevice"
- Användaren innehåller åtgärder:
DeviceEvents
| where ActionType contains "ContainedUser"
Attackstörningar använder reparationsåtgärdsfunktionen i Microsoft Defender for Identity för att inaktivera konton. Defender for Identity använder som standard Domänkontrollantens LocalSystem-konto för alla reparationsåtgärder.
Följande fråga söker efter händelser där en domänkontrollant har inaktiverat användarkonton. Den här frågan returnerar även användarkonton som är inaktiverade av automatiska attackstörningar genom att utlösa kontoaktivering i Microsoft Defender XDR manuellt:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Ovanstående fråga har anpassats från en Microsoft Defender for Identity – Attack Disruption-fråga.