Details und Ergebnisse einer automatischen Angriffsunterbrechungsaktion
Wenn in Microsoft Defender XDR eine automatische Angriffsunterbrechung ausgelöst wird, sind die Details zum Risiko und zur Eindämmung status kompromittierter Ressourcen während und nach dem Prozess verfügbar. Sie können die Details auf der Incidentseite anzeigen, die alle Details des Angriffs und die aktuellen status der zugehörigen Ressourcen enthält.
Überprüfen des Incidentdiagramms
Microsoft Defender XDR automatische Angriffsunterbrechung ist in der Incidentansicht integriert. Überprüfen Sie das Incidentdiagramm, um die gesamte Angriffsgeschichte abzurufen und die Auswirkungen und status zu bewerten.
Im Folgenden finden Sie einige Beispiele dafür, wie es aussieht:
- Unterbrochene Vorfälle umfassen ein Tag für "Angriffsunterbrechung" und den spezifischen bedrohungstyp identifiziert (z. B. Ransomware). Wenn Sie Incident-E-Mail-Benachrichtigungen abonnieren, werden diese Tags auch in den E-Mails angezeigt.
- Eine hervorgehobene Benachrichtigung unter dem Incidenttitel, die angibt, dass der Vorfall unterbrochen wurde.
- Angehaltene Benutzer und eigenständige Geräte werden mit einer Bezeichnung angezeigt, die ihre status angibt.
Wenn Sie ein Benutzerkonto oder ein Gerät aus der Kapselung freigeben möchten, klicken Sie auf das enthaltene Medienobjekt, und klicken Sie für ein Gerät aus der Kapselung freigeben oder benutzer für ein Benutzerkonto aktivieren .
Nachverfolgen der Aktionen im Info-Center
Das Info-Center (https://security.microsoft.com/action-center) vereint Wartungs- und Reaktionsaktionen auf Ihren Geräten, E-Mail-& Inhalte für die Zusammenarbeit und Identitäten. Zu den aufgeführten Aktionen gehören Wartungsaktionen, die automatisch oder manuell ausgeführt wurden. Sie können aktionen für automatische Angriffsunterbrechungen im Info-Center anzeigen.
Sie können die enthaltenen Ressourcen freigeben, z. B. ein gesperrtes Benutzerkonto aktivieren oder ein Gerät aus der Kapselung freigeben, über den Bereich mit den Aktionsdetails. Sie können die enthaltenen Ressourcen freigeben, nachdem Sie das Risiko verringert und die Untersuchung eines Incidents abgeschlossen haben. Weitere Informationen zum Info-Center finden Sie unter Info-Center.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.
Nachverfolgen der Aktionen in der erweiterten Suche
Sie können bestimmte Abfragen in der erweiterten Suche verwenden, um enthaltene Geräte oder Benutzer nachzuverfolgen und Benutzerkontoaktionen zu deaktivieren.
Suchen nach Contain-Aktionen
Enthält Aktionen, die durch eine Angriffsunterbrechung ausgelöst werden, finden Sie in der Tabelle DeviceEvents in der erweiterten Suche. Verwenden Sie die folgenden Abfragen, um nach diesen spezifischen Contain-Aktionen zu suchen:
Geräte enthalten Aktionen:
DeviceEvents | where ActionType contains "ContainedDevice"Benutzer enthalten Aktionen:
DeviceEvents | where ActionType contains "ContainedUser"
Suchen nach Aktionen zum Deaktivieren von Benutzerkonten
Angriffsunterbrechungen verwenden die Wartungsaktionsfunktion von Microsoft Defender for Identity, um Konten zu deaktivieren. Defender for Identity verwendet standardmäßig das LocalSystem-Konto des Domänencontrollers für alle Wartungsaktionen.
Die folgende Abfrage sucht nach Ereignissen, bei denen ein Domänencontroller Benutzerkonten deaktiviert hat. Diese Abfrage gibt auch Benutzerkonten zurück, die durch automatische Angriffsunterbrechungen deaktiviert wurden, indem die Kontodeaktivierung in Microsoft Defender XDR manuell ausgelöst wird:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Die obige Abfrage wurde anhand einer Abfrage Microsoft Defender for Identity – Angriffsunterbrechung angepasst.