当Microsoft Defender XDR中触发自动攻击中断时,可以查看有关过程中和之后已泄露资产的风险和包含状态的详细信息。 可以在事件页上查看详细信息,其中提供了攻击的完整详细信息和相关资产的最新状态。
查看事件图
Microsoft Defender XDR事件视图中内置了自动攻击中断。 查看事件图以获取整个攻击事件并评估攻击中断影响和状态。
事件页包括以下信息:
- 中断事件包括“攻击中断”标记,以及标识 (特定威胁类型,例如勒索软件) 。 如果订阅事件电子邮件通知,这些标记也会显示在电子邮件中。
- 事件标题下方的突出显示通知,指示事件已中断。
- 挂起的用户和包含的设备将显示一个标签,指示其状态。
若要从包含中释放用户帐户或设备,请选择包含的资产,并为设备选择 “从包含中释放 ”,或者为用户帐户 启用用户 。
在作中心跟踪作
作中心 (https://security.microsoft.com/action-center) 汇集了跨设备、电子邮件 & 协作内容和标识的 修正 和响应作。 列出的作包括自动或手动执行的修正作。 可以在作中心查看自动攻击中断作。
可以从作详细信息窗格中释放包含的资产,例如启用被阻止的用户帐户或从包含中释放设备。 在缓解风险并完成事件调查后,可以释放包含的资产。 有关作中心的详细信息,请参阅 作中心。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。
跟踪高级搜寻中的作
可以在 高级搜寻 中使用特定查询来跟踪包含设备或用户,并禁用用户帐户作。
高级搜寻中与包含相关的事件
Microsoft Defender for Endpoint中的遏制通过阻止来自包含实体的通信来防止进一步的威胁参与者活动。 在高级搜寻中, DeviceEvents 表 记录 由包含导致的阻止作,而不是初始包含作本身:
设备派生的阻止作 - 这些事件指示活动 (,例如网络通信) ,因为设备被包含而受阻:
DeviceEvents | where ActionType contains "ContainedDevice"用户派生的阻止作 - 这些事件指示活动 (,例如登录或资源访问尝试,) 因包含用户而被阻止:
DeviceEvents | where ActionType contains "ContainedUser"
搜寻禁用用户帐户作
攻击中断使用 Microsoft Defender 的修正作功能来禁用帐户。 默认情况下,标识Microsoft Defender使用域控制器的 LocalSystem 帐户执行所有修正作。
以下查询查找域控制器禁用用户帐户的事件。 此查询还返回在 Microsoft Defender XDR 中手动触发帐户禁用来自动攻击中断禁用的用户帐户:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
前面的查询是从标识 - 攻击中断查询Microsoft Defender改编的。