修正 Microsoft Defender XDR 中的第一个事件

适用于：

• Microsoft Defender XDR

Microsoft Defender XDR 提供检测和分析功能，以确保遏制和消除威胁。 遏制包括减少攻击影响的步骤，同时根除可确保从网络中删除攻击者活动的所有跟踪。

Microsoft Defender XDR 中的修正可以自动完成，也可以通过事件响应者采取的手动操作进行。 可以对设备、文件和标识执行修正操作。

自动修正

Microsoft Defender XDR 利用其威胁情报和网络内的信号来应对最具破坏性的攻击。 勒索软件、商业电子邮件入侵 (BEC) ，以及中间攻击者 (AiTM) 网络钓鱼是一些最复杂的攻击，可以通过 自动攻击中断 功能立即受到控制。 攻击中断后，事件响应者可以接管攻击并全面调查攻击，并应用所需的补救措施。

了解自动攻击中断如何帮助事件响应：

同时，Microsoft Defender XDR 的 自动调查和响应 功能可以自动调查恶意和可疑项目并应用修正操作。 这些功能可对威胁进行调查和解决，使事件响应人员能够专注于高影响攻击。

可以配置和管理自动调查和响应功能。 还可以通过 操作中心查看所有过去的操作和挂起的操作。

注意

可以在查看后撤消自动操作。

若要加快某些调查任务，可以使用 Power Automate 对警报进行会审。 此外，可以使用自动化和 playbook 创建自动修正。 Microsoft 在 GitHub 上 具有适用于以下方案的 playbook 模板：

• 请求用户验证后删除敏感文件共享
• 自动会审不常的国家/地区警报
• 在禁用帐户之前请求管理员操作
• 禁用恶意收件箱规则

Playbook 使用 Power Automate 创建自定义机器人流程自动化流，以在触发特定条件后自动执行某些活动。 组织可以从现有模板或从头开始创建 playbook。 还可以在事后评审期间创建 Playbook，以从已解决的事件创建修正操作。

通过以下视频了解 Power Automate 如何帮助你自动执行事件响应：

手动修正

在响应攻击时，安全团队可以利用门户的手动修正操作来阻止攻击进一步造成损害。 某些操作可以立即阻止威胁，而其他操作有助于进一步进行取证分析。 可以根据组织中部署的 Defender 工作负载将这些操作应用于任何实体。

对设备执行的操作

• 隔离设备 - 通过断开设备与网络的连接来隔离受影响的设备。 设备仍连接到 Defender for Endpoint 服务，以便继续监视。

• 限制应用执行 - 通过应用代码完整性策略来限制应用程序，该策略仅允许文件在由Microsoft颁发的证书签名的情况下运行。

• 运行防病毒扫描 - 为设备远程启动 Defender 防病毒扫描。 无论 Defender 防病毒是否是活动防病毒解决方案，扫描都可以与其他防病毒解决方案一起运行。

• 收集调查包 - 可以在调查或响应过程中从设备收集调查包。 通过收集调查包，可以识别设备的当前状态，并进一步了解攻击者使用的工具和技术。

• 启动自动调查 - 在设备上启动新的常规用途自动调查。 调查正在运行时，从设备生成的任何其他警报都将添加到正在进行的自动调查中，直到该调查完成。 此外，如果在其他设备上看到相同的威胁，则会将这些设备添加到调查中。

• 启动实时响应 - 使用远程 shell 连接即时访问设备，以便你可以进行深入的调查工作，并立即采取响应操作，以及时实时包含已识别的威胁。 实时响应旨在通过收集取证数据、运行脚本、发送可疑实体进行分析、修正威胁以及主动搜寻新出现的威胁来增强调查。

• 咨询 Defender 专家 - 可以咨询 Microsoft Defender 专家，了解有关可能受到威胁或已泄露的设备的更多信息。 Microsoft Defender 专家可以直接在门户中参与进来，以便及时准确地做出响应。 此操作适用于设备和文件。

可通过以下教程获取设备上的其他操作：

• 通过 Defender for Endpoint 启用的设备上的响应操作

注意

你可以直接从攻击故事中的图形对设备执行操作。

对文件执行的操作

• 停止和隔离文件 - 包括停止运行进程、隔离文件和删除注册表项等持久性数据。
• 添加指示器以阻止或允许文件 - 通过禁止潜在的恶意文件或可疑恶意软件来防止攻击进一步蔓延。 此操作可防止在组织中的设备上读取、写入或执行文件。
• 下载或收集文件 – 允许分析师将文件下载到受密码保护 .zip 存档文件中，供组织进一步分析。
• 深入分析 - 在安全、完全检测的云环境中执行文件。 深入分析结果显示文件的活动、观察到的行为和关联的项目，例如已删除的文件、注册表修改以及与 IP 地址的通信。

修正其他攻击

注意

在环境中启用其他 Defender 工作负载时，这些教程适用。

以下教程枚举在调查实体或响应特定威胁时可以应用的步骤和操作：

• 通过 Defender for Office 365 响应泄露的电子邮件帐户
• 使用 Defender for 漏洞管理修正漏洞
• 通过 Defender for Identity 对用户帐户的修正操作
• 使用 Defender for Cloud Apps 应用策略来控制应用

后续步骤

• 通过攻击模拟训练模拟攻击
• 通过虚拟忍者培训探索 Microsoft Defender XDR

另请参阅

• 调查事件
• 通过 Microsoft Defender XDR Ninja 培训了解门户的特性和功能

提示

想要了解更多信息？ 在我们的技术社区：Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。