自动攻击中断操作的详细信息和结果

适用于:

  • Microsoft Defender XDR

当 Microsoft Defender XDR 中触发自动攻击中断时,有关风险和受入侵资产包含状态的详细信息在此过程期间和之后都可用。 可以在事件页上查看详细信息,其中提供了攻击的完整详细信息和相关资产的最新状态。

查看事件图

Microsoft Defender XDR 自动攻击中断内置于事件视图中。 查看事件图以获取整个攻击事件并评估攻击中断影响和状态。

下面是其外观的一些示例:

  • 中断事件包括“攻击中断”的标记,以及 (标识的特定威胁类型,即勒索软件) 。 如果订阅事件电子邮件通知,这些标记也会显示在电子邮件中。
  • 事件标题下方的突出显示通知,指示事件已中断。
  • 挂起的用户和包含的设备将显示一个标签,指示其状态。

若要从包含中释放用户帐户或设备,请单击包含的资产,然后单击设备 从包含中释放 ,或 为用户帐户启用用户

在操作中心跟踪操作

操作中心 (https://security.microsoft.com/action-center) 汇集了跨设备、电子邮件 & 协作内容和标识的 修正 和响应操作。 列出的操作包括自动或手动执行的修正操作。 可以在操作中心查看自动攻击中断操作。

可以从操作详细信息窗格中释放包含的资产,例如启用被阻止的用户帐户或从包含中释放设备。 在缓解风险并完成事件调查后,可以释放包含的资产。 有关操作中心的详细信息,请参阅 操作中心

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动

跟踪高级搜寻中的操作

可以在 高级搜寻 中使用特定查询来跟踪包含设备或用户,并禁用用户帐户操作。

搜寻包含操作

在高级搜寻中的 DeviceEvents 表中 可以找到由攻击中断触发的包含操作。 使用以下查询来搜寻这些特定的包含操作:

  • 设备包含操作:
DeviceEvents
| where ActionType contains "ContainedDevice"
  • 用户包含操作:
DeviceEvents
| where ActionType contains "ContainedUser"

搜寻禁用用户帐户操作

攻击中断使用 Microsoft Defender for Identity 的修正操作功能来禁用帐户。 默认情况下,Defender for Identity 对所有修正操作使用域控制器的 LocalSystem 帐户。

以下查询查找域控制器禁用用户帐户的事件。 此查询还会通过手动触发 Microsoft Defender XDR 中的帐户禁用来返回自动攻击中断所禁用的用户帐户:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

上述查询改编自 Microsoft Defender for Identity - 攻击中断查询

后续步骤