Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Quando uma interrupção automática de ataques é acionada no Microsoft Defender XDR, pode ver os detalhes sobre o risco e o estado de contenção dos recursos comprometidos durante e após o processo. Pode ver os detalhes na página do incidente, que fornece todos os detalhes do ataque e o estado atualizado dos recursos associados.
Rever o gráfico de incidentes
Microsoft Defender XDR interrupção automática do ataque está incorporada na vista de incidente. Reveja o gráfico de incidentes para obter toda a história do ataque e avaliar o impacto e o estado da interrupção do ataque.
A página do incidente inclui as seguintes informações:
- Os incidentes interrompidos incluem uma etiqueta para "Interrupção do Ataque" e o tipo de ameaça específico identificado (por exemplo, ransomware). Se subscrever notificações por e-mail de incidentes, estas etiquetas também serão apresentadas nos e-mails.
- Uma notificação realçada abaixo do título do incidente que indica que o incidente foi interrompido.
- Os utilizadores suspensos e os dispositivos contidos são apresentados com uma etiqueta que indica o respetivo estado.
Para libertar uma conta de utilizador ou um dispositivo da contenção, selecione o recurso contido e selecione a versão da contenção de um dispositivo ou ative o utilizador para uma conta de utilizador.
Controlar as ações no Centro de ação
O Centro de ação (https://security.microsoft.com/action-center) reúne ações de remediação e resposta nos seus dispositivos, e-mail & conteúdo de colaboração e identidades. As ações listadas incluem ações de remediação que foram executadas automaticamente ou manualmente. Pode ver as ações de interrupção automática de ataques no Centro de ação.
Pode libertar os recursos contidos, por exemplo, ativar uma conta de utilizador bloqueada ou libertar um dispositivo da contenção, a partir do painel de detalhes da ação. Pode libertar os recursos contidos depois de mitigar o risco e concluir a investigação de um incidente. Para obter mais informações sobre o centro de ação, consulte Centro de ação.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Controlar as ações na investigação avançada
Pode utilizar consultas específicas na investigação avançada para controlar a contenção de dispositivos ou utilizadores e desativar as ações da conta de utilizador.
Eventos relacionados com a contenção na investigação avançada
A contenção no Microsoft Defender para Endpoint impede mais atividade de ator de ameaças ao bloquear a comunicação de entidades contidas. Na investigação avançada, a tabela DeviceEvents regista ações de bloqueio resultantes da contenção e não da própria ação de contenção inicial:
Ações de bloco derivadas do dispositivo – estes eventos indicam a atividade (como a comunicação de rede) que foi bloqueada porque o dispositivo estava contido:
DeviceEvents | where ActionType contains "ContainedDevice"Ações de bloco derivadas do utilizador – estes eventos indicam atividade (como tentativas de início de sessão ou de acesso a recursos) que foi bloqueada porque o utilizador estava contido:
DeviceEvents | where ActionType contains "ContainedUser"
Procurar ações de desativação da conta de utilizador
A interrupção do ataque utiliza a capacidade de ação de remediação de Microsoft Defender para a Identidade desativar contas. Por predefinição, Microsoft Defender para Identidade utiliza a conta LocalSystem do controlador de domínio para todas as ações de remediação.
A consulta seguinte procura eventos em que um controlador de domínio desativou as contas de utilizador. Esta consulta também devolve contas de utilizador desativadas por interrupção automática do ataque ao acionar a desativação da conta no Microsoft Defender XDR manualmente:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
A consulta anterior foi adaptada a partir de um Microsoft Defender para a consulta Identidade – Interrupção do Ataque.