İngilizce dilinde oku

Aracılığıyla paylaş


Otomatik saldırı kesintisi eyleminin ayrıntıları ve sonuçları

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Microsoft Defender XDR'de otomatik bir saldırı kesintisi tetiklendiğinde, risk ve risk altındaki varlıkların kapsama durumu hakkındaki ayrıntılar işlem sırasında ve sonrasında kullanılabilir. Ayrıntıları, saldırının tüm ayrıntılarını ve ilişkili varlıkların güncel durumunu sağlayan olay sayfasında görüntüleyebilirsiniz.

Olay grafiğini gözden geçirme

Microsoft Defender XDR otomatik saldırı kesintisi, olay görünümünde yerleşik olarak bulunur. Saldırı hikayesinin tamamını almak ve saldırı kesintisi etkisini ve durumunu değerlendirmek için olay grafiğini gözden geçirin.

Nasıl göründüğüne dair bazı örnekler aşağıda verilmiştir:

  • Kesintiye uğrayan olaylar arasında 'Saldırı Kesintisi' etiketi ve tanımlanan belirli tehdit türü (fidye yazılımı) bulunur. Olay e-posta bildirimlerine aboneyseniz, bu etiketler e-postalarda da görünür.
  • Olay başlığının altında, olayın kesintiye uğradığını belirten vurgulanmış bir bildirim.
  • Askıya alınan kullanıcılar ve kapsanan cihazlar, durumlarını belirten bir etiketle birlikte görünür.

Bir kullanıcı hesabını veya cihazı kapsama alanından serbest bırakmak için, kapsanan varlığa tıklayın ve bir cihazın kapsama alanından serbest bırak'a tıklayın veya kullanıcı hesabı için kullanıcıyı etkinleştirin .

İşlem merkezindeki eylemleri izleme

İşlem merkezi (https://security.microsoft.com/action-center), cihazlarınızda düzeltme ve yanıt eylemlerini, e-posta & işbirliği içeriğini ve kimlikleri bir araya getirir. Listelenen eylemler, otomatik olarak veya el ile gerçekleştirilen düzeltme eylemlerini içerir. otomatik saldırı kesintisi eylemlerini İşlem merkezinde görüntüleyebilirsiniz.

Kapsanan varlıkları serbest bırakabilirsiniz; örneğin, engellenen bir kullanıcı hesabını etkinleştirebilir veya eylem ayrıntıları bölmesinden bir cihazı kapsama alanından serbest bırakabilirsiniz. Riski azalttıktan ve bir olayın araştırmasını tamamladıktan sonra kapsanan varlıkları serbest bırakabilirsiniz. İşlem merkezi hakkında daha fazla bilgi için bkz. İşlem merkezi.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.

Gelişmiş avcılıkta eylemleri izleme

Cihazı veya kullanıcıyı izlemek ve kullanıcı hesabı eylemlerini devre dışı bırakmak için gelişmiş avcılıkta belirli sorguları kullanabilirsiniz.

İçeren eylemleri avla

Saldırı kesintisi tarafından tetiklenen eylemleri içerme, gelişmiş avcılıkta DeviceEvents tablosunda bulunur. Bu belirli eylemleri bulmak için aşağıdaki sorguları kullanın:

  • Cihaz eylemleri içerir:
DeviceEvents
| where ActionType contains "ContainedDevice"
  • Kullanıcı eylemler içeriyor:
DeviceEvents
| where ActionType contains "ContainedUser"

Kullanıcı hesabı eylemlerini devre dışı bırakma

Saldırı kesintisi, hesapları devre dışı bırakmak için Kimlik için Microsoft Defender'ın düzeltme eylemi özelliğini kullanır. Kimlik için Defender, tüm düzeltme eylemleri için varsayılan olarak etki alanı denetleyicisinin LocalSystem hesabını kullanır.

Aşağıdaki sorgu, bir etki alanı denetleyicisinin kullanıcı hesaplarını devre dışı bırakıldığı olayları arar. Bu sorgu ayrıca Microsoft Defender XDR'de hesabı devre dışı bırakma işlemini el ile tetikleyerek otomatik saldırı kesintisi nedeniyle devre dışı bırakılan kullanıcı hesaplarını döndürür:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

Yukarıdaki sorgu, Kimlik için Microsoft Defender - Saldırı Kesintisi sorgusundan uyarlanmıştır.

Sonraki adım