Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När en automatisk attackstörning utlöses i Microsoft Defender XDR kan du visa information om risken och inneslutningsstatusen för komprometterade tillgångar under och efter processen. Du kan visa information på incidentsidan, som innehåller fullständig information om attacken och aktuell status för associerade tillgångar.
Granska incidentdiagrammet
Microsoft Defender XDR automatisk attackstörning är inbyggd i incidentvyn. Granska incidentdiagrammet för att få hela attackberättelsen och utvärdera påverkan och status för attackstörningar.
Incidentsidan innehåller följande information:
- Incidenter som har störts innehåller en tagg för "Attack Disruption" och den specifika hottyp som identifierats (till exempel utpressningstrojaner). Om du prenumererar på e-postaviseringar för incidenter visas även dessa taggar i e-postmeddelandena.
- Ett markerat meddelande under incidentrubriken som anger att incidenten avbröts.
- Inaktiverade användare och inneslutna enheter visas med en etikett som anger deras status.
Om du vill frigöra ett användarkonto eller en enhet från inneslutning väljer du den inneslutna tillgången och väljer släpp från inneslutning för en enhet eller aktiverar användaren för ett användarkonto.
Spåra åtgärderna i Åtgärdscenter
Åtgärdscentret (https://security.microsoft.com/action-center) samlar åtgärder för reparation och svar på dina enheter, e-post & samarbetsinnehåll och identiteter. Åtgärderna i listan omfattar åtgärder som har vidtagits automatiskt eller manuellt. Du kan visa automatiska åtgärder för attackstörningar i Åtgärdscenter.
Du kan frigöra de inneslutna tillgångarna, till exempel aktivera ett blockerat användarkonto eller frigöra en enhet från inneslutning från åtgärdsinformationsfönstret. Du kan frigöra de inneslutna tillgångarna när du har minimerat risken och slutför undersökningen av en incident. Mer information om åtgärdscentret finns i Åtgärdscenter.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Spåra åtgärdsstatusen på fliken Aktiviteter (förhandsversion)
På fliken Aktiviteter på sidan Incident kan du visa information om en specifik incident, inklusive datum och tid då aktiviteten startade, utlösande avisering med mera.
Kolumnen Principstatus (förhandsversion) i aktivitetslistan innehåller en tillståndskänslig lista över åtgärder och principer som vidtas inom incidenter, vilket gör att du kan se aktuell status för alla relevanta åtgärder och principer i din miljö. Detta löser utmaningen med att spåra pågående och utgångna åtgärder, särskilt i stora miljöer med många incidenter.
Så här visar du alla automatiska angreppsstörningar och förebyggande avskärmningsåtgärder som vidtas som en del av en incident:
Lägg till följande filter på fliken Aktiviteter för incidenten:
- Välj anpassatintervall på 30 dagar> och välj relevant tidsram för de åtgärder som du vill undersöka.
- Välj Utförs av och välj AttackDisruption. Det här filtret innehåller även förutsägande avskärmningsåtgärder.
- Välj Aktivitetsstatus och sedan Slutfört. Detta visar den aktuella principstatusen för åtgärder som har slutförts och filtrerar bort partiella åtgärder eller pågående åtgärder.
- Principstatus: Välj Aktiv, Inaktiv och Ingen status (alla alternativ utom Inte tillämpligt).
Granska aktiviteterna i listan. Kolumnen Principstatus visar den aktuella statusen för principen för varje aktivitet. En användare fanns till exempel inom den angivna tidsramen, men principen är för närvarande inaktiv. Det innebär att användaren inte längre finns.
Följande principstatusar är tillgängliga:
- Aktiv: Principen är aktiv och framtvingad.
- Inaktiv: Principen tillämpades tidigare men är inte längre aktiv. En användare var till exempel innesluten men har sedan dess släppts.
- Inte tillämpligt: Principstatusen gäller inte för åtgärden. Principstatusen gäller till exempel inte för en obehindrad åtgärd, eftersom obehindrade åtgärder inte är principer utan snarare omsvängning av en tidigare åtgärd.
- Ingen status: Det gick inte att hämta principstatusen av olika orsaker, till exempel pågår åtgärden fortfarande och den slutliga statusen har ännu inte fastställts.
Den här vyn innehåller unika data om aktivitets- och principstatusen inom den valda tidsramen. Dessa data går utöver vyerna i Åtgärdscenter, som ger en historisk logg över åtgärder som vidtagits men som inte återspeglar den aktuella statusen för dessa åtgärder.
Spåra åtgärderna i avancerad jakt
Du kan använda specifika frågor i avancerad jakt för att spåra innehållsenhet eller användare och inaktivera åtgärder för användarkonton.
Inneslutningsrelaterade händelser i avancerad jakt
Inneslutning i Microsoft Defender för Endpoint förhindrar ytterligare hotaktivitet genom att blockera kommunikation från inneslutna entiteter. I avancerad jakt blockerar tabellen DeviceEventsåtgärder som är resultatet av inneslutning, inte själva den inledande inneslutningsåtgärden:
Enhetsbaserade blockåtgärder – Dessa händelser indikerar aktivitet (till exempel nätverkskommunikation) som blockerades eftersom enheten fanns:
DeviceEvents | where ActionType contains "ContainedDevice"Användarbaserade blockåtgärder – Dessa händelser indikerar aktivitet (till exempel inloggnings- eller resursåtkomstförsök) som blockerades eftersom användaren var innesluten:
DeviceEvents | where ActionType contains "ContainedUser"
Jaga efter åtgärder för att inaktivera användarkonton
Attackstörningar använder reparationsåtgärdsfunktionen i Microsoft Defender for Identity för att inaktivera konton. Som standard använder Microsoft Defender for Identity domänkontrollantens LocalSystem-konto för alla reparationsåtgärder.
Följande fråga söker efter händelser där en domänkontrollant har inaktiverat användarkonton. Den här frågan returnerar även användarkonton som inaktiverats av automatiska attackstörningar genom att inaktivera kontot i Microsoft Defender XDR manuellt:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Föregående fråga har anpassats från en fråga för Microsoft Defender for Identity – attackstörning.