Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer een automatische aanval wordt onderschept in Microsoft Defender XDR, kunt u de details bekijken over het risico en de insluitingsstatus van gecompromitteerde assets tijdens en na het proces. U kunt de details bekijken op de incidentpagina, die de volledige details van de aanval en de up-to-date status van gekoppelde assets bevat.
Bekijk de incidentgrafiek
Microsoft Defender XDR automatische aanvalsonderbreking is ingebouwd in de incidentweergave. Bekijk de incidentgrafiek om het hele aanvalsverhaal op te halen en de impact en status van de aanvalsonderbreking te beoordelen.
De incidentpagina bevat de volgende informatie:
- Verstoorde incidenten omvatten een tag voor 'Aanvalsonderbreking' en het specifieke bedreigingstype dat is geïdentificeerd (bijvoorbeeld ransomware). Als u zich abonneert op e-mailmeldingen voor incidenten, worden deze tags ook weergegeven in de e-mailberichten.
- Een gemarkeerde melding onder de titel van het incident die aangeeft dat het incident is onderbroken.
- Onderbroken gebruikers en ingesloten apparaten worden weergegeven met een label dat hun status aangeeft.
Als u een gebruikersaccount of een apparaat wilt vrijgeven van insluiting, selecteert u de ingesloten asset en selecteert u Release van insluiting voor een apparaat of schakelt u een gebruiker in voor een gebruikersaccount.
De acties bijhouden in het actiecentrum
Het actiecentrum (https://security.microsoft.com/action-center) brengt herstel- en reactieacties op al uw apparaten, e-mail & samenwerkingsinhoud en identiteiten samen. De vermelde acties omvatten herstelacties die automatisch of handmatig zijn uitgevoerd. U kunt automatische aanvalsonderbrekingsacties bekijken in het Actiecentrum.
U kunt de ingesloten assets vrijgeven, bijvoorbeeld een geblokkeerd gebruikersaccount inschakelen of een apparaat vrijgeven uit insluiting, vanuit het detailvenster van de actie. U kunt de ingesloten activa vrijgeven nadat u het risico hebt beperkt en het onderzoek van een incident hebt voltooid. Zie Actiecentrum voor meer informatie over het actiecentrum.
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.
De acties bijhouden in geavanceerde opsporing
U kunt specifieke query's in geavanceerde opsporing gebruiken om het apparaat of de gebruiker bij te houden en gebruikersaccountacties uit te schakelen.
Insluitingsgerelateerde gebeurtenissen in geavanceerde opsporing
Insluiting in Microsoft Defender voor Eindpunt verdere activiteit van bedreigingsacteuren voorkomt door communicatie van ingesloten entiteiten te blokkeren. Bij geavanceerde opsporing blokkeren de logboeken van de tabel DeviceEventsacties die het gevolg zijn van insluiting, niet de initiële insluitingsactie zelf:
Apparaat-afgeleide blokacties : deze gebeurtenissen duiden op activiteit (zoals netwerkcommunicatie) die is geblokkeerd omdat het apparaat is opgenomen:
DeviceEvents | where ActionType contains "ContainedDevice"Door de gebruiker afgeleide blokacties : deze gebeurtenissen duiden op activiteit (zoals aanmeldings- of resourcetoegangspogingen) die is geblokkeerd omdat de gebruiker is opgenomen:
DeviceEvents | where ActionType contains "ContainedUser"
Zoeken naar acties voor het uitschakelen van gebruikersaccounts
Aanvalsonderbreking maakt gebruik van de herstelactiemogelijkheid van Microsoft Defender voor identiteit om accounts uit te schakelen. Standaard gebruikt Microsoft Defender voor Identiteit het LocalSystem-account van de domeincontroller voor alle herstelacties.
Met de volgende query wordt gezocht naar gebeurtenissen waarbij een domeincontroller gebruikersaccounts heeft uitgeschakeld. Deze query retourneert ook gebruikersaccounts die zijn uitgeschakeld door automatische aanvalsonderbreking door het uitschakelen van accounts in Microsoft Defender XDR handmatig te activeren:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
De voorgaande query is aangepast op basis van een Microsoft Defender voor de query Identity - Attack Disruption.