Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Når et automatisk angrepsavbrudd utløses i Microsoft Defender XDR, kan du vise detaljene om risikoen og oppdekkingsstatusen for kompromitterte ressurser under og etter prosessen. Du kan vise detaljene på hendelsessiden, som gir alle detaljer om angrepet og den oppdaterte statusen for tilknyttede aktiva.
Se gjennom hendelsesgrafen
Microsoft Defender XDR automatiske angrepsforstyrrelsen er innebygd i hendelsesvisningen. Se gjennom hendelsesgrafen for å få hele angrepshistorien og vurdere angrepsavbruddet og statusen.
Hendelsessiden inneholder følgende informasjon:
- Forstyrrede hendelser inkluderer en kode for «Angrepsavbrudd» og den spesifikke trusseltypen som identifiseres (for eksempel løsepengevirus). Hvis du abonnerer på hendelses-e-postvarsler, vises disse kodene også i e-postmeldingene.
- Et uthevet varsel under hendelsestittelen som indikerer at hendelsen ble forstyrret.
- Suspenderte brukere og enheter som inneholder, vises med en etikett som angir statusen deres.
Hvis du vil frigi en brukerkonto eller enhet fra en innesiktet enhet, velger du den inneholdte ressursen og velger frigi fra innesiktet for en enhet eller aktiverer brukeren for en brukerkonto.
Spore handlingene i handlingssenteret
Handlingssenteret (https://security.microsoft.com/action-center) samler utbedrings - og svarhandlinger på tvers av enhetene dine, e-post & samarbeidsinnhold og identiteter. Handlinger som er oppført, omfatter utbedringshandlinger som ble utført automatisk eller manuelt. Du kan vise handlinger for automatiske angrepsavbrudd i handlingssenteret.
Du kan frigi de inneholdde ressursene, for eksempel aktivere en blokkert brukerkonto eller frigi en enhet fra innesperring, fra handlingsdetaljruten. Du kan frigi de inneholdte ressursene etter at du reduserer risikoen og fullfører undersøkelsen av en hendelse. Hvis du vil ha mer informasjon om handlingssenteret, kan du se Handlingssenter.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Spore handlingsstatusen i Aktiviteter-fanen (forhåndsvisning)
Med Aktiviteter-fanen på Hendelse-siden kan du vise detaljer relatert til en bestemt hendelse, inkludert datoen og klokkeslettet aktiviteten startet, utløservarselet og mer.
Policystatuskolonnen (forhåndsvisning) i aktivitetslisten inneholder en tilstandsfull liste over handlinger og policyer som utføres i hendelser, slik at du kan se gjeldende status for alle relevante handlinger og policyer i miljøet ditt. Dette tar for seg utfordringen med å spore pågående og utløpte handlinger, spesielt i store miljøer med mange hendelser.
Slik viser du alle automatiske angrepsforstyrrelser og prediktive skjermingshandlinger som er utført som en del av en hendelse:
Legg til følgende filtre i hendelsens Aktiviteter-fane :
- Velg egendefinert område på 30 dager>, og velg den relevante tidsrammen for handlingene du vil undersøke.
- Velg Utført av , og velg AttackDisruption. Dette filteret inkluderer også prediktive skjermingshandlinger.
- Velg Aktivitetsstatus , og velg Fullført. Dette viser deg gjeldende policystatus for handlinger som er fullført, og filtrerer ut delvise eller pågående handlinger.
- Policystatus: Velg Aktiv, Inaktiv og Ingen status (alle alternativer unntatt Ikke aktuelt).
Se gjennom de oppførte aktivitetene. Policystatus-kolonnen viser gjeldende status for policyen for hver aktivitet. En bruker var for eksempel i den angitte tidsrammen, men policyen er inaktiv. Dette betyr at brukeren ikke lenger finnes.
Følgende policystatuser er tilgjengelige:
- Aktiv: Policyen er aktiv og håndhevet.
- Inaktiv: Policyen ble tidligere brukt, men er ikke lenger aktiv. En bruker ble for eksempel inneholdt, men har siden blitt utgitt.
- Gjelder ikke: Policystatusen gjelder ikke for handlingen. Policystatusen gjelder for eksempel ikke for en uoppnåelseshandling, fordi ubestridelige handlinger ikke er policyer, men snarere reversering av en tidligere handling.
- Ingen status: Policystatusen kan ikke hentes av ulike årsaker, for eksempel at handlingen fremdeles pågår, og den endelige statusen er ennå ikke bestemt.
Denne visningen gir unike data om aktiviteten og policystatusen i den valgte tidsrammen. Disse dataene går utover Handlingssenter-visninger, som gir en historisk logg over handlinger som er utført, men som ikke gjenspeiler gjeldende status for disse handlingene.
Spore handlingene i avansert jakt
Du kan bruke bestemte spørringer i avansert jakt til å spore inneholder enhet eller bruker, og deaktivere brukerkontohandlinger.
Containment-relaterte hendelser i avansert jakt
Innesperring i Microsoft Defender for endepunkt hindrer ytterligere trusselaktøraktivitet ved å blokkere kommunikasjon fra inneholdt enheter. I avansert jakt logger DeviceEvents-tabellenhandlinger som er et resultat av innesperring, ikke selve den første begrensningshandlingen:
Enhetsavledede blokkhandlinger – disse hendelsene angir aktivitet (for eksempel nettverkskommunikasjon) som ble blokkert fordi enheten var inneholdt:
DeviceEvents | where ActionType contains "ContainedDevice"Brukeravledede blokkhandlinger – disse hendelsene angir aktivitet (for eksempel påloggings- eller ressurstilgangsforsøk) som ble blokkert fordi brukeren inneholdt:
DeviceEvents | where ActionType contains "ContainedUser"
Jakten på deaktiver brukerkontohandlinger
Angrepsavbrudd bruker utbedringshandlingsfunksjonen til Microsoft Defender for identitet til å deaktivere kontoer. Som standard bruker Microsoft Defender for identitet LocalSystem-kontoen til domenekontrolleren for alle utbedringshandlinger.
Følgende spørring ser etter hendelser der en domenekontroller deaktiverte brukerkontoer. Denne spørringen returnerer også brukerkontoer deaktivert av automatisk angrepsavbrudd ved å utløse kontodeaktivering i Microsoft Defender XDR manuelt:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Den forrige spørringen ble tilpasset fra en Microsoft Defender for identitet – spørring om angrepsavbrudd.