Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsqu’une interruption d’attaque automatique se déclenche dans Microsoft Defender XDR, vous pouvez afficher les détails sur le risque et l’status d’endiguement des ressources compromises pendant et après le processus. Vous pouvez afficher les détails sur la page de l’incident, qui fournit les détails complets de l’attaque et les status à jour des ressources associées.
Passer en revue le graphique des incidents
Microsoft Defender XDR interruption automatique des attaques est intégrée à la vue des incidents. Passez en revue le graphique des incidents pour obtenir l’intégralité de l’histoire des attaques et évaluer l’impact des interruptions d’attaque et status.
La page d’incident contient les informations suivantes :
- Les incidents perturbés incluent une étiquette pour « Interruption des attaques » et le type de menace spécifique identifié (par exemple, ransomware). Si vous vous abonnez à des Notifications par e-mail d’incident, ces balises apparaissent également dans les e-mails.
- Notification mise en surbrillance sous le titre de l’incident indiquant que l’incident a été interrompu.
- Les utilisateurs suspendus et les appareils autonomes apparaissent avec une étiquette indiquant leur status.
Pour libérer un compte d’utilisateur ou un appareil de l’isolement, sélectionnez la ressource autonome, puis sélectionnez Release from containment pour un appareil ou activez l’utilisateur pour un compte d’utilisateur.
Suivre les actions dans le centre de notifications
Le Centre de notifications (https://security.microsoft.com/action-center) regroupe les actions de correction et de réponse sur vos appareils, les e-mails & le contenu de collaboration et les identités. Les actions répertoriées incluent des actions de correction qui ont été effectuées automatiquement ou manuellement. Vous pouvez afficher les actions d’interruption d’attaque automatique dans le Centre de notifications.
Vous pouvez libérer les ressources contenues, par exemple, activer un compte d’utilisateur bloqué ou libérer un appareil de l’isolement, à partir du volet détails de l’action. Vous pouvez libérer les ressources autonomes après avoir atténué le risque et terminé l’examen d’un incident. Pour plus d’informations sur le centre de notifications, consultez Centre de notifications.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.
Suivre les actions dans la chasse avancée
Vous pouvez utiliser des requêtes spécifiques dans la chasse avancée pour effectuer le suivi de l’appareil ou de l’utilisateur contenant, et désactiver les actions de compte d’utilisateur.
Événements liés à l’endiguement dans la chasse avancée
L’endiguement dans Microsoft Defender pour point de terminaison empêche toute activité d’acteur de menace supplémentaire en bloquant la communication à partir d’entités autonomes. Dans la chasse avancée, la table DeviceEvents journalise les actions de blocage qui résultent de l’endiguement, et non de l’action de confinement initiale elle-même :
Actions de bloc dérivées de l’appareil : ces événements indiquent une activité (telle que la communication réseau) qui a été bloquée parce que l’appareil était contenu :
DeviceEvents | where ActionType contains "ContainedDevice"Actions de blocage dérivées de l’utilisateur : ces événements indiquent l’activité (par exemple, les tentatives de connexion ou d’accès aux ressources) qui a été bloquée parce que l’utilisateur était contenu :
DeviceEvents | where ActionType contains "ContainedUser"
Rechercher la désactivation des actions de compte d’utilisateur
L’interruption des attaques utilise la fonctionnalité d’action de correction de Microsoft Defender pour l’identité pour désactiver les comptes. Par défaut, Microsoft Defender pour Identity utilise le compte LocalSystem du contrôleur de domaine pour toutes les actions de correction.
La requête suivante recherche les événements où un contrôleur de domaine a désactivé des comptes d’utilisateur. Cette requête retourne également les comptes d’utilisateur désactivés par interruption automatique des attaques en déclenchant manuellement la désactivation du compte dans Microsoft Defender XDR :
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
La requête précédente a été adaptée à partir d’une Microsoft Defender pour la requête Identity - Attack Disruption.