自動攻撃中断アクションの詳細と結果
適用対象:
- Microsoft Defender XDR
Microsoft Defender XDR で自動攻撃中断がトリガーされると、侵害された資産のリスクと封じ込め状態に関する詳細は、プロセス中およびプロセス後に使用できます。 インシデント ページで詳細を表示できます。これにより、攻撃の詳細と、関連する資産の最新の状態が表示されます。
インシデント グラフを確認する
Microsoft Defender XDR 自動攻撃の中断は、インシデント ビューに組み込まれています。 インシデント グラフを確認して、攻撃のストーリー全体を取得し、攻撃の中断の影響と状態を評価します。
次のような例を示します。
- 中断されたインシデントには、"攻撃の中断" のタグと、特定された特定の脅威の種類 (ランサムウェア) が含まれます。 インシデントメール通知をサブスクライブすると、これらのタグもメールに表示されます。
- インシデントが中断されたことを示すインシデント タイトルの下の強調表示された通知。
- 中断されたユーザーと包含デバイスには、状態を示すラベルが表示されます。
ユーザー アカウントまたはデバイスを包含から解放するには、包含資産をクリックし、デバイスの 包含から解放 をクリックするか、ユーザー アカウントの ユーザーを有効にします 。
アクション センターでアクションを追跡する
アクション センター (https://security.microsoft.com/action-center) では、デバイス全体の 修復 アクションと応答アクション、電子メール & コラボレーション コンテンツ、ID がまとめられます。 一覧に表示されるアクションには、自動的または手動で実行された修復アクションが含まれます。 アクション センターでは、自動攻撃中断アクションを表示できます。
包含資産を解放できます。たとえば、ブロックされたユーザー アカウントを有効にしたり、アクションの詳細ウィンドウからデバイスを包含から解放したりできます。 リスクを軽減し、インシデントの調査を完了した後で、包含資産を解放できます。 アクション センターの詳細については、「 アクション センター」を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。
高度なハンティングのアクションを追跡する
高度なハンティングで特定のクエリを使用して、デバイスまたはユーザーを含む追跡したり、ユーザー アカウントアクションを無効にしたりできます。
包含アクションの検索
攻撃の中断によってトリガーされる包含アクションは、高度なハンティングの DeviceEvents テーブル にあります。 これらの特定の包含アクションを検索するには、次のクエリを使用します。
- デバイスにはアクションが含まれます。
DeviceEvents
| where ActionType contains "ContainedDevice"
- ユーザーに含まれるアクション:
DeviceEvents
| where ActionType contains "ContainedUser"
ユーザー アカウントの無効化アクションを検索する
攻撃の中断では、Microsoft Defender for Identity の修復アクション機能を使用してアカウントを無効にします。 Defender for Identity では、すべての修復アクションに既定でドメイン コントローラーの LocalSystem アカウントが使用されます。
次のクエリでは、ドメイン コントローラーがユーザー アカウントを無効にしたイベントを検索します。 このクエリでは、Microsoft Defender XDR でアカウントの無効化を手動でトリガーすることで、自動攻撃の中断によって無効になっているユーザー アカウントも返されます。
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
上記のクエリは 、Microsoft Defender for Identity - Attack Disruption クエリから適応されました。