當 Microsoft Defender 全面偵測回應 中觸發自動攻擊中斷時,您可以在程式期間和之後檢視風險的詳細數據,以及遭入侵資產的牽制狀態。 您可以在事件頁面上檢視詳細資料,其中提供攻擊的完整詳細資料以及相關資產的最新狀態。
檢閱事件圖表
Microsoft Defender 全面偵測回應自動攻擊中斷是事件檢視中內建的。 檢閱事件圖表以取得整個攻擊故事,並評估攻擊中斷影響和狀態。
事件頁面包含下列資訊:
- 中斷事件包括「攻擊中斷」標籤和識別的特定威脅類型,例如勒索軟體) (。 如果您訂閱事件電子郵件通知,這些標籤也會出現在電子郵件中。
- 事件標題下方的突出顯示通知,表示事件已中斷。
- 已暫停的使用者和包含的裝置會顯示一個標籤,指出其狀態。
若要從包含中釋放使用者帳戶或裝置,請選取包含的資產,然後選取裝置的從 包含中釋放 ,或為使用者帳戶 啟用使用者 。
追蹤控制中心中的動作
) (https://security.microsoft.com/action-center 控制中心會匯集跨裝置、電子郵件 & 共同作業內容和身分識別的 補救 和回應動作。 列出的動作包括自動或手動採取的補救動作。 您可以在控制中心檢視自動攻擊中斷動作。
您可以從動作詳細資料窗格釋放包含的資產,例如啟用封鎖的使用者帳戶或從包含中釋放裝置。 您可以在降低風險並完成事件調查之後,釋放包含的資產。 如需控制中心的詳細資訊,請參閱 控制中心。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。
追蹤進階狩獵中的動作
您可以在 進階搜捕 中使用特定查詢來追蹤包含的裝置或使用者,以及停用使用者帳戶動作。
進階狩獵中的遏制相關事件
適用於端點的 Microsoft Defender 中的包含會封鎖來自所包含實體的通訊,以防止進一步的威脅執行者活動。 在進階搜捕中, DeviceEvents 數據表 記錄會封鎖包含 所產生的動作,而不是初始包含動作本身:
裝置衍生的封鎖動作 - 這些事件指出活動 (,例如網路通訊) , 因為裝置已包含而遭到封鎖:
DeviceEvents | where ActionType contains "ContainedDevice"使用者衍生的封鎖動作 - 這些事件指出活動 (,例如登入或資源存取嘗試,) 因為 使用者被包含而遭到封鎖:
DeviceEvents | where ActionType contains "ContainedUser"
搜尋停用使用者帳戶動作
攻擊中斷會使用適用於身分識別的 Microsoft Defender 補救動作功能來停用帳戶。 根據預設,適用於身分識別的 Microsoft Defender 會針對所有補救動作使用網域控制站的 LocalSystem 帳戶。
下列查詢會尋找網域控制站停用使用者帳戶的事件。 此查詢也會透過手動觸發 Microsoft Defender 全面偵測回應中的帳戶停用,傳回自動攻擊中斷所停用的使用者帳戶:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
上述查詢是根據適用於身分識別的 Microsoft Defender - 攻擊中斷查詢調整。