Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kun automaattinen hyökkäyshäiriö käynnistyy Microsoft Defender XDR, voit tarkastella vaarantuneiden resurssien riskin ja eristämistilan tietoja prosessin aikana ja sen jälkeen. Voit tarkastella tietoja tapaussivulla, joka sisältää hyökkäyksen täydelliset tiedot ja liittyvien resurssien ajantasaisen tilan.
Tapauskaavion tarkistaminen
Microsoft Defender XDR automaattinen hyökkäyshäiriö on sisäinen tapahtumanäkymässä. Tarkastele tapauskaaviota saadaksesi koko hyökkäystarinan ja arvioidaksesi hyökkäyksen häiriön vaikutusta ja tilaa.
Tapaussivu sisältää seuraavat tiedot:
- Häiriöihin kuuluvat "Attack Disruption" -tunniste ja tunnistettu uhkatyyppi (esimerkiksi kiristyshaittaohjelma). Jos tilaat tapaussähköpostiilmoituksia, nämä tunnisteet näkyvät myös sähköposteissa.
- Tapauksen otsikon alla korostettu ilmoitus, joka ilmaisee, että tapaus häiriintyi.
- Keskeytetyt käyttäjät ja sisältyvät laitteet näkyvät selitteellä, joka ilmaisee heidän tilansa.
Jos haluat vapauttaa käyttäjätilin tai laitteen suojauksesta, valitse sisällytetty resurssi ja valitse julkaisu laitteen eristysversiosta tai ota käyttäjä käyttöön käyttäjätiliä varten.
Toimintokeskuksen toimintojen seuraaminen
Toimintokeskus (https://security.microsoft.com/action-center) kokoaa yhteen laitteidesi korjaus - ja vastaustoiminnot, sähköpostin & yhteistyösisällön ja käyttäjätiedot. Luetellut toiminnot sisältävät korjaustoimintoja, jotka on tehty automaattisesti tai manuaalisesti. Voit tarkastella automaattisen hyökkäyksen häiriöitä toimintokeskuksessa.
Voit julkaista sisällytettyjä resursseja, esimerkiksi ottaa käyttöön estetyt käyttäjätilit tai vapauttaa laitteen eristystoiminnosta toiminnon tietoruudusta. Voit vapauttaa sisältyvät resurssit lievennyksen jälkeen ja viimeistellä tapauksen tutkinnan. Lisätietoja toimintokeskuksesta on kohdassa Toimintokeskus.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Seuraa toiminnon tilaa Aktiviteetit-välilehdessä (esikatselu)
Tapaus-sivunAktiviteetit-välilehden avulla voit tarkastella tiettyyn tapahtumaan liittyviä tietoja, kuten aktiviteetin alkamispäivämäärää ja -kellonaikaa, käynnistysilmoitusta ja paljon muuta.
Toimintaluettelon Käytäntötila-sarakkeessa (esikatselu) on tilallinen luettelo tapauksiin liittyvistä toiminnoista ja käytännöistä, joiden avulla voit tarkastella kaikkien ympäristösi asiaankuuluvien toimintojen ja käytäntöjen nykyistä tilaa. Tämä vastaa jatkuvaan ja vanhentuneeseen toimintaan, erityisesti suurissa ympäristöissä, joissa on monia tapauksia.
Voit tarkastella kaikkia automaattisia hyökkäyshäiriöitä ja ennakoivia suojaustoimia, jotka on toteutettu osana tapahtumaa:
Lisää tapahtuman Toiminnot-välilehdessä seuraavat suodattimet:
- Valitse 30 päivän>mukautettu alue ja valitse sitten tutkittavat toiminnot soveltuva aikaväli.
- Valitse Suorita ja valitse AttackDisruption. Tämä suodatin sisältää myös ennakoivat suojaustoiminnot.
- Valitse Toiminnan tila ja sitten Valmis. Tämä näyttää nykyisen käytännön tilan suoritetuille toiminnoille suodattaen pois osittaiset tai keskeneräiset toiminnot.
- Käytännön tila: Valitse Aktiivinen, Passiivinen ja Ei tilaa (kaikki vaihtoehdot paitsi Ei käytettävissä).
Tarkista luetteloidut toiminnot. Käytännön tila -sarakkeessa näkyy kunkin toiminnon käytännön nykyinen tila. Esimerkiksi käyttäjä sisällytettiin määritettyyn aikaväliin, mutta käytäntö on tällä hetkellä passiivinen. Tämä tarkoittaa sitä, että käyttäjä ei ole enää hallinnassa.
Seuraavat käytännön tilat ovat käytettävissä:
- Aktiivinen: Käytäntö on tällä hetkellä aktiivinen ja käytössä.
- Passiivinen: Käytäntö otettiin aiemmin käyttöön, mutta se ei ole enää aktiivinen. Esimerkiksi käyttäjä oli hallinnassa, mutta hänet on sittemmin julkaistu.
- Ei käytettävissä: Käytännön tila ei koske toimintoa. Esimerkiksi käytännön tila ei koske saastuttamatonta toimintoa, koska saastumattomat toiminnot eivät ole käytäntöjä vaan aiemman toiminnon peruuttamista.
- Ei tilaa: Käytännön tilaa ei voitu hakea eri syistä, esimerkiksi toiminto on edelleen käynnissä eikä lopullista tilaa ole vielä määritetty.
Tässä näkymässä on yksilöllisiä tietoja aktiviteetin ja käytännön tilasta valitulla ajanjaksolla. Nämä tiedot ylittävät toimintokeskusnäkymät, jotka tarjoavat historiallisen lokin toteutetuista toiminnoista, mutta eivät kyseisten toimintojen nykyistä tilaa.
Seuraa kehittyneen metsästyksen toimia
Voit käyttää tiettyjä kyselyjä kehittyneessä metsästyksessä laitteen tai käyttäjän jäljittämiseen ja käyttäjätilin toimintojen poistamiseen käytöstä.
Eristykseen liittyvät tapahtumat kehittyneessä metsästyksessä
Eristäminen Microsoft Defender for Endpoint estää uusia uhkia toimimasta estämällä tiedonsiirron sisältämistä entiteeteistä. Kehittyneessä metsästyksessä DeviceEvents-taulukko kirjaa estämistoiminnot, jotka johtuvat eristämistoiminnosta, eivät itse alkusisällytystoiminnosta:
Laitteesta johdetut estotoiminnot – Nämä tapahtumat ilmaisevat toimintaa (kuten verkkoliikennettä), joka estettiin laitteen sisältymisen vuoksi:
DeviceEvents | where ActionType contains "ContainedDevice"Käyttäjän johdetut estotoiminnot – Nämä tapahtumat ilmaisevat toimintaa (kuten kirjautumis- tai resurssienkäyttöyrityksiä), jotka estettiin käyttäjän sisältymisen vuoksi:
DeviceEvents | where ActionType contains "ContainedUser"
Etsi käytöstä poiston käyttäjätilitoimintoja
Hyökkäyshäiriö käyttää Microsoft Defender for Identity korjaustoimintoa tilien käytöstä poistamiseen. oletusarvoisesti Microsoft Defender for Identity käyttää toimialueen ohjauskoneen LocalSystem-tiliä kaikissa korjaustoiminnoissa.
Seuraava kysely etsii tapahtumia, joissa toimialueen ohjauskone on poistanut käyttäjätilit käytöstä. Tämä kysely palauttaa myös käyttäjätilit, jotka on poistettu käytöstä automaattisen hyökkäyksen häiriön vuoksi käynnistämällä tilin käytöstä poisto Microsoft Defender XDR manuaalisesti:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Edellä olevaa kyselyä on mukautettu Microsoft Defender for Identity - Attack Disruption -kyselystä.