Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Gdy w Microsoft Defender XDR wyzwalane jest automatyczne zakłócenie ataku, można wyświetlić szczegóły dotyczące ryzyka i stanu hermetyzowania zagrożonych zasobów w trakcie procesu i po nim. Szczegóły można wyświetlić na stronie zdarzenia, która zawiera pełne szczegóły ataku i aktualny stan skojarzonych zasobów.
Przejrzyj wykres zdarzenia
Microsoft Defender XDR automatyczne zakłócenie ataku jest wbudowane w widoku zdarzeń. Przejrzyj wykres zdarzenia, aby uzyskać całą historię ataku i ocenić wpływ i stan zakłóceń ataku.
Strona zdarzenia zawiera następujące informacje:
- Zdarzenia zakłócone obejmują tag "Zakłócenie ataku" i określony typ zagrożenia (na przykład oprogramowanie wymuszające okup). Jeśli subskrybujesz powiadomienia e-mail o zdarzeniach, tagi te są również wyświetlane w wiadomościach e-mail.
- Wyróżnione powiadomienie poniżej tytułu zdarzenia wskazujące, że zdarzenie zostało zakłócone.
- Zawieszeni użytkownicy i zawarte urządzenia są wyświetlane z etykietą wskazującą ich stan.
Aby zwolnić konto użytkownika lub urządzenie z zawartego zasobu, wybierz zawarty zasób i wybierz opcję zwolnij dla urządzenia lub włącz użytkownika dla konta użytkownika.
Śledzenie akcji w centrum akcji
Centrum akcji (https://security.microsoft.com/action-center) łączy akcje korygowania i reagowania na urządzeniach, pocztę e-mail & zawartość współpracy i tożsamości. Wymienione akcje obejmują akcje korygowania, które zostały wykonane automatycznie lub ręcznie. Możesz wyświetlić akcje automatycznego zakłócania ataków w Centrum akcji.
Możesz zwolnić zawarte zasoby, na przykład włączyć zablokowane konto użytkownika lub zwolnić urządzenie z blokady, w okienku szczegółów akcji. Możesz zwolnić zawarte zasoby po zminimalizowaniu ryzyka i zakończeniu badania zdarzenia. Aby uzyskać więcej informacji na temat centrum akcji, zobacz Centrum akcji.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Śledzenie akcji w zaawansowanym polowaniu
W zaawansowanym wyszukiwaniu można używać określonych zapytań do śledzenia urządzeń lub użytkowników oraz wyłączania akcji konta użytkownika.
Zdarzenia związane z powstrzymywaniem w zaawansowanym polowaniu
Hermetyzowanie w Ochrona punktu końcowego w usłudze Microsoft Defender zapobiega dalszej aktywności podmiotów zagrożeń poprzez blokowanie komunikacji z zawartych jednostek. W przypadku zaawansowanego wyszukiwania zagrożeń dzienniki tabeli DeviceEventsblokują akcje wynikające z zamknięcia, a nie początkową akcję hermetyzowania:
Akcje blokowe pochodne urządzenia — te zdarzenia wskazują działanie (takie jak komunikacja sieciowa), które zostało zablokowane, ponieważ urządzenie było zawarte:
DeviceEvents | where ActionType contains "ContainedDevice"Akcje blokowe pochodne przez użytkownika — te zdarzenia wskazują działania (takie jak próby logowania lub dostępu do zasobów), które zostały zablokowane, ponieważ użytkownik był zawarty:
DeviceEvents | where ActionType contains "ContainedUser"
Wyszukiwanie wyłączania akcji konta użytkownika
Zakłócenie ataku używa możliwości akcji korygowania Microsoft Defender dla tożsamości w celu wyłączenia kont. Domyślnie Microsoft Defender dla usługi Identity używa konta LocalSystem kontrolera domeny dla wszystkich akcji korygowania.
Poniższe zapytanie szuka zdarzeń, w których kontroler domeny wyłączył konta użytkowników. To zapytanie zwraca również konta użytkowników wyłączone przez automatyczne zakłócenie ataku przez wyzwolenie wyłączenia konta w Microsoft Defender XDR ręcznie:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Poprzednie zapytanie zostało zaadaptowane z Microsoft Defender dla zapytania Identity — Attack Disruption.