自動攻擊中斷動作的詳細數據和結果
適用於:
- Microsoft Defender XDR
當 Microsoft Defender XDR 中觸發自動攻擊中斷時,在程式進行期間和之後,會提供風險的詳細數據,以及遭入侵資產的內含項目狀態。 您可以在事件頁面上檢視詳細數據,其中提供攻擊的完整詳細數據,以及相關聯資產的最新狀態。
檢閱事件圖表
Microsoft事件檢視中內建 Defender XDR 自動攻擊中斷。 檢閱事件圖表以取得整個攻擊案例,並評估攻擊中斷的影響和狀態。
以下是其外觀的一些範例:
- 中斷的事件包括「攻擊中斷」標記,以及 (識別的特定威脅類型,也就是勒索軟體) 。 如果您訂閱事件電子郵件通知,這些標記也會出現在電子郵件中。
- 事件標題下方醒目提示的通知,指出事件已中斷。
- 已暫停的使用者和自主裝置隨即出現,並顯示指出其狀態的標籤。
若要從內含專案釋放使用者帳戶或裝置,請按兩下包含的資產,然後按兩下裝置的 內含項目發行 ,或 啟用使用者 帳戶的使用者。
在控制中心追蹤動作
控制中心 (https://security.microsoft.com/action-center) 將裝置、電子郵件 & 共同作業內容和身分識別之間的 補救 和回應動作結合在一起。 列出的動作包括自動或手動採取的補救動作。 您可以在控制中心檢視自動攻擊中斷動作。
您可以從動作詳細數據窗格釋放包含的資產,例如,啟用封鎖的用戶帳戶,或從內含專案釋放裝置。 您可以在降低風險並完成事件調查之後釋放包含的資產。 如需控制中心的詳細資訊,請參閱 控制中心。
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。
追蹤進階搜捕中的動作
您可以在 進階搜捕 中使用特定查詢來追蹤包含的裝置或使用者,以及停用使用者帳戶動作。
搜捕包含動作
在進階搜捕的 DeviceEvents 數據表 中,會找到由攻擊中斷所觸發的動作。 使用下列查詢來搜捕這些特定的包含動作:
- 裝置包含動作:
DeviceEvents
| where ActionType contains "ContainedDevice"
- 使用者包含動作:
DeviceEvents
| where ActionType contains "ContainedUser"
搜捕停用用戶帳戶動作
攻擊中斷會使用適用於身分識別Microsoft Defender 的補救動作功能來停用帳戶。 適用於身分識別的 Defender 預設會針對所有補救動作使用域控制器的 LocalSystem 帳戶。
下列查詢會尋找域控制器停用用戶帳戶的事件。 此查詢也會透過手動觸發 Microsoft Defender XDR 中的停用帳戶,傳回自動攻擊中斷所停用的用戶帳戶:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
上述查詢是從 適用於身分識別的 Microsoft Defender - 攻擊中斷查詢調整而來。