Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn eine automatische Angriffsunterbrechung in Microsoft Defender XDR ausgelöst wird, können Sie die Details zum Risiko und zur Eindämmung status kompromittierter Ressourcen während und nach dem Prozess anzeigen. Sie können die Details auf der Incidentseite anzeigen, die alle Details des Angriffs und die aktuellen status der zugehörigen Ressourcen enthält.
Überprüfen des Incidentdiagramms
Microsoft Defender XDR automatische Angriffsunterbrechung ist in der Incidentansicht integriert. Überprüfen Sie das Incidentdiagramm, um die gesamte Angriffsgeschichte abzurufen und die Auswirkungen und status zu bewerten.
Die Seite "Incident" enthält die folgenden Informationen:
- Unterbrochene Vorfälle umfassen ein Tag für "Angriffsunterbrechung" und den spezifischen bedrohungstyp identifiziert (z. B. Ransomware). Wenn Sie Incident-E-Mail-Benachrichtigungen abonnieren, werden diese Tags auch in den E-Mails angezeigt.
- Eine hervorgehobene Benachrichtigung unter dem Incidenttitel, die angibt, dass der Vorfall unterbrochen wurde.
- Angehaltene Benutzer und eigenständige Geräte werden mit einer Bezeichnung angezeigt, die ihre status angibt.
Um ein Benutzerkonto oder ein Gerät aus der Kapselung freizugeben, wählen Sie das enthaltene Medienobjekt und dann Release from containment for a device (Aus Einschluss freigeben für ein Gerät oder Benutzer für ein Benutzerkonto aktivieren ) aus.
Nachverfolgen der Aktionen im Info-Center
Das Info-Center (https://security.microsoft.com/action-center) vereint Wartungs- und Reaktionsaktionen auf Ihren Geräten, E-Mail-& Inhalte für die Zusammenarbeit und Identitäten. Zu den aufgeführten Aktionen gehören Wartungsaktionen, die automatisch oder manuell ausgeführt wurden. Sie können aktionen für automatische Angriffsunterbrechungen im Info-Center anzeigen.
Sie können die enthaltenen Ressourcen freigeben, z. B. ein gesperrtes Benutzerkonto aktivieren oder ein Gerät aus der Kapselung freigeben, über den Bereich mit den Aktionsdetails. Sie können die enthaltenen Ressourcen freigeben, nachdem Sie das Risiko verringert und die Untersuchung eines Incidents abgeschlossen haben. Weitere Informationen zum Info-Center finden Sie unter Info-Center.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.
Nachverfolgen der Aktionen in der erweiterten Suche
Sie können bestimmte Abfragen in der erweiterten Suche verwenden, um enthaltene Geräte oder Benutzer nachzuverfolgen und Benutzerkontoaktionen zu deaktivieren.
Einschlussbezogene Ereignisse bei der erweiterten Suche
Die Eindämmung in Microsoft Defender for Endpoint verhindert weitere Aktivitäten von Bedrohungsakteurn, indem die Kommunikation von enthaltenen Entitäten blockiert wird. Bei der erweiterten Suche protokolliert die DeviceEvents-TabelleBlockaktionen, die sich aus der Kapselung ergeben, und nicht die anfängliche Einschlussaktion selbst:
Vom Gerät abgeleitete Blockaktionen : Diese Ereignisse deuten auf Aktivitäten (z. B. Netzwerkkommunikation) hin, die blockiert wurde, weil das Gerät enthalten war:
DeviceEvents | where ActionType contains "ContainedDevice"Vom Benutzer abgeleitete Blockaktionen : Diese Ereignisse deuten auf Aktivitäten (z. B. Anmelde- oder Ressourcenzugriffsversuche) hin, die blockiert wurden, weil der Benutzer enthalten war:
DeviceEvents | where ActionType contains "ContainedUser"
Suchen nach Aktionen zum Deaktivieren von Benutzerkonten
Angriffsunterbrechungen verwenden die Wartungsaktionsfunktion von Microsoft Defender for Identity, um Konten zu deaktivieren. Standardmäßig verwendet Microsoft Defender for Identity das LocalSystem-Konto des Domänencontrollers für alle Wartungsaktionen.
Die folgende Abfrage sucht nach Ereignissen, bei denen ein Domänencontroller Benutzerkonten deaktiviert hat. Diese Abfrage gibt auch Benutzerkonten zurück, die durch automatische Angriffsunterbrechungen deaktiviert wurden, indem die Kontodeaktivierung in Microsoft Defender XDR manuell ausgelöst wird:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Die vorherige Abfrage wurde aus einer Microsoft Defender für Identity – Attack Disruption-Abfrage angepasst.