Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Gdy w Microsoft Defender XDR wyzwalane jest automatyczne zakłócenie ataku, można wyświetlić szczegóły dotyczące ryzyka i stanu hermetyzowania zagrożonych zasobów w trakcie procesu i po nim. Szczegóły można wyświetlić na stronie zdarzenia, która zawiera pełne szczegóły ataku i aktualny stan skojarzonych zasobów.
Przejrzyj wykres zdarzenia
Microsoft Defender XDR automatyczne zakłócenie ataku jest wbudowane w widoku zdarzeń. Przejrzyj wykres zdarzenia, aby uzyskać całą historię ataku i ocenić wpływ i stan zakłóceń ataku.
Strona zdarzenia zawiera następujące informacje:
- Zdarzenia zakłócone obejmują tag "Zakłócenie ataku" i określony typ zagrożenia (na przykład oprogramowanie wymuszające okup). Jeśli subskrybujesz powiadomienia e-mail o zdarzeniach, tagi te są również wyświetlane w wiadomościach e-mail.
- Wyróżnione powiadomienie poniżej tytułu zdarzenia wskazujące, że zdarzenie zostało zakłócone.
- Zawieszeni użytkownicy i zawarte urządzenia są wyświetlane z etykietą wskazującą ich stan.
Aby zwolnić konto użytkownika lub urządzenie z zawartego zasobu, wybierz zawarty zasób i wybierz opcję zwolnij dla urządzenia lub włącz użytkownika dla konta użytkownika.
Śledzenie akcji w centrum akcji
Centrum akcji (https://security.microsoft.com/action-center) łączy akcje korygowania i reagowania na urządzeniach, pocztę e-mail & zawartość współpracy i tożsamości. Wymienione akcje obejmują akcje korygowania, które zostały wykonane automatycznie lub ręcznie. Możesz wyświetlić akcje automatycznego zakłócania ataków w Centrum akcji.
Możesz zwolnić zawarte zasoby, na przykład włączyć zablokowane konto użytkownika lub zwolnić urządzenie z blokady, w okienku szczegółów akcji. Możesz zwolnić zawarte zasoby po zminimalizowaniu ryzyka i zakończeniu badania zdarzenia. Aby uzyskać więcej informacji na temat centrum akcji, zobacz Centrum akcji.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Śledzenie stanu akcji na karcie Działania (wersja zapoznawcza)
Karta Działania na stronie Incydent umożliwia wyświetlanie szczegółów związanych z określonym zdarzeniem, w tym daty i godziny rozpoczęcia działania, wyzwalającego alertu i nie tylko.
Kolumna Stan zasad (wersja zapoznawcza) na liście działań zawiera stanową listę akcji i zasad wykonywanych w ramach zdarzeń, co umożliwia wyświetlenie bieżącego stanu wszystkich odpowiednich akcji i zasad w środowisku. Rozwiązuje to wyzwanie związane ze śledzeniem trwających i wygasłych akcji, szczególnie w dużych środowiskach z wieloma zdarzeniami.
Aby wyświetlić wszystkie automatyczne zakłócenia ataków i predykcyjne działania osłony podejmowane w ramach zdarzenia:
Na karcie Działania zdarzenia dodaj następujące filtry:
- Wybierzpozycję Zakres niestandardowy30 dni> i wybierz odpowiedni przedział czasu dla akcji, które chcesz zbadać.
- Wybierz pozycję Wykonywane przez i wybierz pozycję AttackDisruption. Ten filtr obejmuje również akcje ochrony predykcyjnej.
- Wybierz pozycję Stan działania i wybierz pozycję Ukończono. Spowoduje to wyświetlenie bieżącego stanu zasad dla ukończonych akcji, odfiltrowania akcji częściowych lub w toku.
- Stan zasad: wybierz pozycje Aktywne, Nieaktywne i Brak stanu (wszystkie opcje z wyjątkiem Nie dotyczy).
Przejrzyj wymienione działania. Kolumna Stan zasad pokazuje bieżący stan zasad dla każdego działania. Na przykład użytkownik został zawarty w określonym przedziale czasu, ale zasady są obecnie nieaktywne. Oznacza to, że użytkownik nie jest już zawarty.
Dostępne są następujące stany zasad:
- Aktywne: zasady są obecnie aktywne i wymuszane.
- Nieaktywne: zasady były wcześniej stosowane, ale nie są już aktywne. Na przykład użytkownik został zawarty, ale od tego czasu został zwolniony.
- Nie dotyczy: stan zasad nie ma zastosowania do akcji. Na przykład stanzasadia nie ma zastosowania do akcji niekontenerwowania, ponieważ niekontenerowane akcje nie są zasadami, ale raczej odwróceniem poprzedniej akcji.
- Brak stanu: nie można pobrać stanu zasad z różnych powodów, na przykład akcja jest nadal w toku, a stan końcowy nie został jeszcze określony.
Ten widok zawiera unikatowe dane dotyczące działania i stanu zasad w wybranym przedziale czasu. Te dane wykraczają poza widoki Centrum akcji, które zapewniają historyczny dziennik wykonanych akcji, ale nie odzwierciedlają bieżącego stanu tych akcji.
Śledzenie akcji w zaawansowanym polowaniu
W zaawansowanym wyszukiwaniu można używać określonych zapytań do śledzenia urządzeń lub użytkowników oraz wyłączania akcji konta użytkownika.
Zdarzenia związane z powstrzymywaniem w zaawansowanym polowaniu
Hermetyzowanie w Ochrona punktu końcowego w usłudze Microsoft Defender zapobiega dalszej aktywności podmiotów zagrożeń poprzez blokowanie komunikacji z zawartych jednostek. W przypadku zaawansowanego wyszukiwania zagrożeń dzienniki tabeli DeviceEventsblokują akcje wynikające z zamknięcia, a nie początkową akcję hermetyzowania:
Akcje blokowe pochodne urządzenia — te zdarzenia wskazują działanie (takie jak komunikacja sieciowa), które zostało zablokowane, ponieważ urządzenie było zawarte:
DeviceEvents | where ActionType contains "ContainedDevice"Akcje blokowe pochodne przez użytkownika — te zdarzenia wskazują działania (takie jak próby logowania lub dostępu do zasobów), które zostały zablokowane, ponieważ użytkownik był zawarty:
DeviceEvents | where ActionType contains "ContainedUser"
Wyszukiwanie wyłączania akcji konta użytkownika
Zakłócenie ataku używa możliwości akcji korygowania Microsoft Defender for Identity w celu wyłączenia kont. Domyślnie Microsoft Defender for Identity używa konta LocalSystem kontrolera domeny dla wszystkich akcji korygowania.
Poniższe zapytanie szuka zdarzeń, w których kontroler domeny wyłączył konta użytkowników. To zapytanie zwraca również konta użytkowników wyłączone przez automatyczne zakłócenie ataku przez wyzwolenie wyłączenia konta w Microsoft Defender XDR ręcznie:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Poprzednie zapytanie zostało zaadaptowane na podstawie zapytania Microsoft Defender for Identity — Zakłócenie ataku.