自动攻击中断操作的详细信息和结果
适用于:
- Microsoft Defender XDR
使用Microsoft Defender XDR时,当自动攻击中断触发时,有关风险和已泄露资产包含状态的详细信息在此过程期间和之后都可用。 可以在“事件”页上查看这些内容,其中提供了攻击的完整详细信息和相关资产的最新状态。
查看事件图
Microsoft Defender XDR事件视图中内置了自动攻击中断。 通过查看事件图,可以获取整个攻击事件并评估攻击中断影响和状态。
下面是其外观的一些示例:
- 中断事件包括“攻击中断”的标记,以及 (标识的特定威胁类型,即勒索软件) 。 如果订阅事件电子邮件通知,这些标记也会显示在电子邮件中。
- 事件标题下方的突出显示通知,指示事件已中断。
- 挂起的用户和包含的设备将显示一个标签,指示其状态。
若要从包含中释放用户帐户或设备,请单击包含的资产,然后单击设备 从包含中释放 ,或 为用户帐户启用用户 。
在操作中心跟踪操作
操作中心 (https://security.microsoft.com/action-center) 汇集了跨设备、电子邮件 & 协作内容和标识的 修正 和响应操作。 列出的操作包括自动或手动执行的修正操作。 可以在操作中心查看自动攻击中断操作。
缓解风险并完成事件调查后,可以从操作详细信息窗格释放包含的资产, (例如启用禁用的用户帐户或从包含) 释放设备。 有关操作中心的详细信息,请参阅 操作中心。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈