Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når en automatisk angrebsafbrydelse udløses i Microsoft Defender XDR, kan du få vist oplysninger om risikoen og indeslutningsstatus for kompromitterede aktiver under og efter processen. Du kan få vist oplysningerne på hændelsessiden, som indeholder de fulde oplysninger om angrebet og den opdaterede status for tilknyttede aktiver.
Gennemse hændelsesgrafen
Microsoft Defender XDR automatiske angrebsafbrydelser er indbygget i hændelsesvisningen. Gennemse grafen over hændelser for at få hele angrebshistorien og vurdere indvirkningen og status for angrebsforstyrrelse.
Hændelsessiden indeholder følgende oplysninger:
- Forstyrrede hændelser omfatter et tag for 'Angrebsforstyrrelse' og den specifikke trusselstype, der er identificeret (for eksempel ransomware). Hvis du abonnerer på meddelelser via mail om hændelser, vises disse mærker også i mails.
- En fremhævet meddelelse under hændelsestitel angiver, at hændelsen blev afbrudt.
- Afbrudte brugere og indeholdte enheder vises med en mærkat, der angiver deres status.
Hvis du vil frigive en brugerkonto eller en enhed fra opbevaring, skal du vælge det indeholdte aktiv og vælge Frigivelse fra opbevaring for en enhed eller aktivere brugeren for en brugerkonto.
Spor handlingerne i Løsningscenter
Løsningscenteret (https://security.microsoft.com/action-center) samler afhjælpnings- og svarhandlinger på tværs af dine enheder, mail & samarbejdsindhold og identiteter. De handlinger, der er angivet, omfatter afhjælpningshandlinger, der er udført automatisk eller manuelt. Du kan få vist automatiske angrebsafbrydelser i Løsningscenter.
Du kan frigive de indeholdte aktiver, f.eks. aktivere en blokeret brugerkonto eller frigive en enhed fra opbevaring, fra ruden med handlingsoplysninger. Du kan frigive de indeholdte aktiver, når du har mindsket risikoen og afsluttet undersøgelsen af en hændelse. Du kan få flere oplysninger om Løsningscenter i Løsningscenter.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Spor handlingsstatus under fanen Aktiviteter (prøveversion)
Fanen Aktiviteter på siden Hændelse giver dig mulighed for at få vist oplysninger, der er relateret til en bestemt hændelse, herunder den dato og det klokkeslæt, hvor aktiviteten startede, den udløsende besked med mere.
Kolonnen Politikstatus (prøveversion) på aktivitetslisten indeholder en liste over handlinger og politikker, der udføres i hændelser, hvilket giver dig mulighed for at se den aktuelle status for alle relevante handlinger og politikker i dit miljø. Dette løser udfordringen med at spore igangværende og udløbne handlinger, især i store miljøer med mange hændelser.
Sådan får du vist alle automatiske angrebsforstyrrelser og forudsigende skjoldhandlinger, der udføres som en del af en hændelse:
Tilføj følgende filtre under fanen Aktiviteter for hændelsen:
- Vælg etbrugerdefineret interval på 30 dage>, og vælg den relevante tidsramme for de handlinger, du vil undersøge.
- Vælg Udført af , og vælg AttackDisruption. Dette filter indeholder også forudsigende skjoldhandlinger.
- Vælg Aktivitetsstatus , og vælg Fuldført. Dette viser den aktuelle politikstatus for handlinger, der er fuldført, og filtrerer delvise handlinger eller igangværende handlinger fra.
- Politikstatus: Vælg status for Aktiv, Inaktiv og Ingen (alle indstillinger undtagen Ikke tilgængelig).
Gennemse de angivne aktiviteter. Kolonnen Politikstatus viser den aktuelle status for politikken for hver aktivitet. En bruger var f.eks. indeholdt inden for den angivne tidsramme, men politikken er i øjeblikket inaktiv. Det betyder, at brugeren ikke længere er indeholdt.
Følgende politikstatusser er tilgængelige:
- Aktiv: Politikken er i øjeblikket aktiv og gennemtvunget.
- Inaktiv: Politikken blev tidligere anvendt, men er ikke længere aktiv. En bruger var f.eks. indeholdt, men er siden blevet frigivet.
- Ikke tilgængelig: Politikstatussen gælder ikke for handlingen. Politikstatussen gælder f.eks. ikke for en ikke-behæftet handling, fordi ikke-behæftede handlinger ikke er politikker, men snarere tilbageførslen af en tidligere handling.
- Ingen status: Politikstatussen kunne ikke hentes af forskellige årsager, f.eks. at handlingen stadig er i gang, og den endelige status er endnu ikke bestemt.
Denne visning indeholder entydige data om aktivitets- og politikstatus i den valgte tidsramme. Disse data går ud over visningerne i Løsningscenter, som indeholder en oversigtslog over udførte handlinger, men som ikke afspejler den aktuelle status for disse handlinger.
Spor handlingerne i avanceret jagt
Du kan bruge specifikke forespørgsler i avanceret jagt til at spore, om de indeholder enhed eller bruger, og deaktivere brugerkontohandlinger.
Indeslutningsrelaterede hændelser i avanceret jagt
Indeslutning i Microsoft Defender for Endpoint forhindrer yderligere trusselsaktøraktivitet ved at blokere kommunikation fra indeholdte enheder. I avanceret jagt blokerer tabellen DeviceEventshandlinger, der stammer fra indeslutning, og ikke selve den indledende indeslutningshandling:
Enhedsafledte blokhandlinger – Disse hændelser angiver aktivitet (f.eks. netværkskommunikation), der blev blokeret, fordi enheden var indeholdt:
DeviceEvents | where ActionType contains "ContainedDevice"Bruger afledte blokhandlinger – Disse hændelser angiver aktivitet (f.eks. logon- eller ressourceadgangsforsøg), der blev blokeret, fordi brugeren var indeholdt:
DeviceEvents | where ActionType contains "ContainedUser"
Søg efter deaktivering af brugerkontohandlinger
Afbrydelse af angreb bruger afhjælpningshandlingsfunktionen i Microsoft Defender for Identity til at deaktivere konti. Microsoft Defender for Identity bruger som standard domænecontrollerens LocalSystem-konto til alle afhjælpningshandlinger.
Følgende forespørgsel søger efter hændelser, hvor en domænecontroller deaktiverede brugerkonti. Denne forespørgsel returnerer også brugerkonti, der er deaktiveret af automatisk afbrydelse af angreb, ved at udløse kontodeaktivering i Microsoft Defender XDR manuelt:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Den foregående forespørgsel blev tilpasset fra en forespørgsel om Microsoft Defender for Identity – Angrebsforstyrrelse.