修正Microsoft Defender XDR中的第一个事件

适用于：

• Microsoft Defender XDR

Microsoft Defender XDR提供检测和分析功能，以确保遏制和消除威胁。 遏制包括减少攻击影响的步骤，同时根除可确保从网络中删除攻击者活动的所有跟踪。

Microsoft Defender XDR中的修正可以自动执行，也可以通过事件响应者采取的手动操作进行。 可以对设备、文件和标识执行修正操作。

自动修正

Microsoft Defender XDR利用其威胁情报和网络中的信号来应对最具破坏性的攻击。 勒索软件、商业电子邮件入侵 (BEC) ，以及中间攻击者 (AiTM) 网络钓鱼是一些最复杂的攻击，可以通过 自动攻击中断 功能立即受到控制。 攻击中断后，事件响应者可以接管攻击并全面调查攻击，并应用所需的补救措施。

了解自动攻击中断如何帮助事件响应：

同时，Microsoft Defender XDR的自动调查和响应功能可以自动调查恶意和可疑项目并应用修正操作。 这些功能可对威胁进行调查和解决，使事件响应人员能够专注于高影响攻击。

可以配置和管理自动调查和响应功能。 还可以通过 操作中心查看所有过去的操作和挂起的操作。

注意

可以在查看后撤消自动操作。

若要加快某些调查任务，可以使用 Power Automate 对警报进行会审。 此外，可以使用自动化和 playbook 创建自动修正。 Microsoft 在 GitHub 上 提供了适用于以下方案的 playbook 模板：

• 请求用户验证后删除敏感文件共享
• 自动会审不常的国家/地区警报
• 在禁用帐户之前请求管理员操作
• 禁用恶意收件箱规则

Playbook 使用 Power Automate 创建自定义机器人流程自动化流，以在触发特定条件后自动执行某些活动。 组织可以从现有模板或从头开始创建 playbook。 还可以在事后评审期间创建 Playbook，以从已解决的事件创建修正操作。

通过以下视频了解 Power Automate 如何帮助你自动执行事件响应：

手动修正

在响应攻击时，安全团队可以利用门户的手动修正操作来阻止攻击进一步造成损害。 某些操作可以立即阻止威胁，而其他操作有助于进一步进行取证分析。 可以根据组织中部署的 Defender 工作负载将这些操作应用于任何实体。

对设备执行的操作

• 隔离设备 - 通过断开设备与网络的连接来隔离受影响的设备。 设备仍连接到 Defender for Endpoint 服务，以便继续监视。

• 限制应用执行 - 通过应用代码完整性策略来限制应用程序，该策略仅允许文件在由 Microsoft 颁发的证书签名时运行。

• 运行防病毒扫描 - 为设备远程启动 Defender 防病毒扫描。 无论 Defender 防病毒是否是活动防病毒解决方案，扫描都可以与其他防病毒解决方案一起运行。

• 收集调查包 - 可以在调查或响应过程中从设备收集调查包。 通过收集调查包，可以识别设备的当前状态，并进一步了解攻击者使用的工具和技术。

• 启动自动调查 - 在设备上启动新的常规用途自动调查。 调查正在运行时，从设备生成的任何其他警报都将添加到正在进行的自动调查中，直到该调查完成。 此外，如果在其他设备上看到相同的威胁，则会将这些设备添加到调查中。

• 启动实时响应 - 使用远程 shell 连接即时访问设备，以便你可以进行深入的调查工作，并立即采取响应操作，以及时实时包含已识别的威胁。 实时响应旨在通过收集取证数据、运行脚本、发送可疑实体进行分析、修正威胁以及主动搜寻新出现的威胁来增强调查。

• 咨询 Defender 专家 - 可以咨询Microsoft Defender专家，了解有关可能遭到入侵或已遭入侵的设备的更多信息。 Microsoft Defender专家可以直接在门户中进行参与，以便及时准确地做出响应。 此操作适用于设备和文件。

可通过以下教程获取设备上的其他操作：

• 通过 Defender for Endpoint 启用的设备上的响应操作

注意

你可以直接从攻击故事中的图形对设备执行操作。

对文件执行的操作

• 停止和隔离文件 - 包括停止运行进程、隔离文件和删除注册表项等持久性数据。
• 添加指示器以阻止或允许文件 - 通过禁止潜在的恶意文件或可疑恶意软件来防止攻击进一步蔓延。 此操作可防止在组织中的设备上读取、写入或执行文件。
• 下载或收集文件 – 允许分析师将文件下载到受密码保护 .zip 存档文件中，供组织进一步分析。
• 深入分析 - 在安全、完全检测的云环境中执行文件。 深入分析结果显示文件的活动、观察到的行为和关联的项目，例如已删除的文件、注册表修改以及与 IP 地址的通信。

修正其他攻击

注意

在环境中启用其他 Defender 工作负载时，这些教程适用。

以下教程枚举在调查实体或响应特定威胁时可以应用的步骤和操作：

• 通过Defender for Office 365响应泄露的电子邮件帐户
• 使用 Defender for 漏洞管理修正漏洞
• 通过 Defender for Identity 对用户帐户的修正操作
• 使用 Defender for Cloud Apps 应用策略来控制应用

后续步骤

• 通过攻击模拟训练模拟攻击
• 通过虚拟忍者培训探索Microsoft Defender XDR

另请参阅

• 调查事件
• 通过 Microsoft Defender XDR Ninja 培训了解门户的特性和功能

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。