自动攻击中断作的详细信息和结果
当Microsoft Defender XDR中触发自动攻击中断时,有关风险和受损资产的包含状态的详细信息在此过程期间和之后都可用。 可以在事件页上查看详细信息,其中提供了攻击的完整详细信息和相关资产的最新状态。
查看事件图
Microsoft Defender XDR事件视图中内置了自动攻击中断。 查看事件图以获取整个攻击事件并评估攻击中断影响和状态。
下面是其外观的一些示例:
- 中断事件包括“攻击中断”的标记,以及 (标识的特定威胁类型,即勒索软件) 。 如果订阅事件电子邮件通知,这些标记也会显示在电子邮件中。
- 事件标题下方的突出显示通知,指示事件已中断。
- 挂起的用户和包含的设备将显示一个标签,指示其状态。
若要从包含中释放用户帐户或设备,请单击包含的资产,然后单击设备 从包含中释放 ,或 为用户帐户启用用户 。
在作中心跟踪作
作中心 (https://security.microsoft.com/action-center) 汇集了跨设备、电子邮件 & 协作内容和标识的 修正 和响应作。 列出的作包括自动或手动执行的修正作。 可以在作中心查看自动攻击中断作。
可以从作详细信息窗格中释放包含的资产,例如启用被阻止的用户帐户或从包含中释放设备。 在缓解风险并完成事件调查后,可以释放包含的资产。 有关作中心的详细信息,请参阅 作中心。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。
跟踪高级搜寻中的作
可以在 高级搜寻 中使用特定查询来跟踪包含设备或用户,并禁用用户帐户作。
搜寻包含作
在高级搜寻中的 DeviceEvents 表中 可以找到由攻击中断触发的包含作。 使用以下查询来搜寻这些特定的包含作:
设备包含作:
DeviceEvents | where ActionType contains "ContainedDevice"用户包含作:
DeviceEvents | where ActionType contains "ContainedUser"
搜寻禁用用户帐户作
攻击中断使用 Microsoft Defender for Identity 的修正作功能来禁用帐户。 默认情况下,Defender for Identity 对所有修正作使用域控制器的 LocalSystem 帐户。
以下查询查找域控制器禁用用户帐户的事件。 此查询还返回在 Microsoft Defender XDR 中手动触发帐户禁用来自动攻击中断禁用的用户帐户:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
上述查询改编自Microsoft Defender for Identity - 攻击中断查询。