Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når automatisk afbrydelse af angreb udløses i Microsoft Defender XDR, kan du få vist oplysninger om risici og opbevaringsstatus for kompromitterede aktiver på hændelsessiden. Siden indeholder hele angrebshistorien og den aktuelle status for tilknyttede aktiver.
Gennemse hændelsesgrafen
Microsoft Defender XDR automatisk afbrydelse af angreb er indbygget i hændelsesvisningen. Gennemse grafen over hændelser for at få hele angrebshistorien og vurdere indvirkningen og status for angrebsforstyrrelse.
Hændelsessiden indeholder følgende oplysninger:
- Forstyrrede hændelser inkluderer et tag for
Attack Disruptionog den specifikke trusselstype, der er identificeret (for eksempel ransomware). Hvis du abonnerer på meddelelser via mail om hændelser, vises disse mærker også i mails. - En fremhævet meddelelse under hændelsestitel angiver, at hændelsen blev afbrudt.
- Afbrudte brugere og indeholdte enheder vises med en mærkat, der angiver deres status.
Hvis du vil frigive en brugerkonto eller en enhed fra opbevaring, skal du vælge det indeholdte aktiv og vælge Frigivelse fra opbevaring for en enhed eller aktivere brugeren for en brugerkonto.
Bemærk!
Før du fortryder en handling, skal du vurdere risikoen og fuldføre din undersøgelse. Hvis du frigiver et indeholdt aktiv for tidligt, kan det gøre det muligt for en hacker at genoptage aktiviteten.
Gennemse oversigtskortet over angrebsforstyrrelser
Når automatisk afbrydelse af angreb reagerer under en hændelse, vises der et dedikeret oversigtskort på hændelsessiden. Oversigtskortet giver dig et hurtigt overblik over de udførte afbrydelseshandlinger. Den viser også historiske data, der er relateret til afbrydelse i forbindelse med hændelsen, hvilket betyder, at dataene samles fra den første besked om hændelsen indtil nuværende tidspunkt.
Sådan gennemser du oversigtskortet:
På Microsoft Defender-portalen skal du gå til Hændelser & beskeder>Hændelser.
Vælg en hændelse, der har koden Angrebsafbrydelser .
På hændelsessiden skal du finde oversigtskortet over angrebsforstyrrelser i højre side. Kortet indeholder:
- En oversigt over de automatiske handlinger, der udføres som en del af denne hændelse.
- Få vist aktiviteter – navigerer til fanen Aktiviteter , hvor du kan se alle automatiserede handlinger.
- Få vist relaterede aktiver – viser de aktiver (slutpunkter, konti, postkasser og programmer), hvor automatiserede handlinger blev anvendt.
Spor handlingerne i Løsningscenter
Løsningscenteret (https://security.microsoft.com/action-center) samler afhjælpnings- og svarhandlinger på tværs af dine enheder, mail- og samarbejdsindhold og identiteter. De handlinger, der er angivet, omfatter afhjælpningshandlinger, der er udført automatisk eller manuelt. Du kan få vist automatiske angrebsafbrydelser i Løsningscenter.
Du kan frigive de indeholdte aktiver, f.eks. aktivere en blokeret brugerkonto eller frigive en enhed fra opbevaring, fra ruden med handlingsoplysninger. Du kan frigive de indeholdte aktiver, når du har mindsket risikoen og afsluttet undersøgelsen af en hændelse. Du kan få flere oplysninger i Løsningscenter.
Spor handlingsstatus under fanen Aktiviteter (prøveversion)
Fanen Aktiviteter på siden Hændelse viser oplysninger, der er relateret til en bestemt hændelse, herunder den dato og det klokkeslæt, hvor aktiviteten startede, den udløsende besked og meget mere.
Kolonnen Politikstatus (prøveversion) på aktivitetslisten indeholder en liste over handlinger og politikker, der udføres i hændelser. Du kan se den aktuelle status for alle relevante handlinger og politikker i dit miljø. Denne funktion løser udfordringen med at spore igangværende og udløbne handlinger, især i store miljøer med mange hændelser.
Sådan får du vist alle automatiske angrebsforstyrrelser og forudsigende skjoldhandlinger, der udføres som en del af en hændelse:
Tilføj følgende filtre under fanen Aktiviteter for hændelsen:
- Vælg etbrugerdefineret interval på 30 dage>, og vælg den relevante tidsramme for de handlinger, du vil undersøge.
- Vælg Udført af , og vælg AttackDisruption. Dette filter indeholder også forudsigende skjoldhandlinger.
- Vælg Aktivitetsstatus , og vælg Fuldført. Denne status viser den aktuelle politikstatus for handlinger, der er fuldført, og filtrerer delvise handlinger eller igangværende handlinger fra.
- Politikstatus: Vælg status for Aktiv, Inaktiv og Ingen (alle indstillinger undtagen Ikke tilgængelig).
Gennemse de angivne aktiviteter. Kolonnen Politikstatus viser den aktuelle status for politikken for hver aktivitet. En bruger var f.eks. indeholdt inden for den angivne tidsramme, men politikken er i øjeblikket inaktiv. Denne status betyder, at brugeren ikke længere er indeholdt.
Tip
Forudsigende skjoldhandlinger vises også, når du filtrerer efter AttackDisruption i filteret Udført af . Mens angrebsafbrydelser reagerer på et aktivt angreb ved at indeholde kompromitterede aktiver, forudser forudsigende afskærmning potentiel angrebsprogression og anvender beskyttende foranstaltninger på forhånd. Du kan finde en liste over understøttede forudsigende skjoldhandlinger og flere oplysninger om administration af dem i følgende artikler:
Følgende politikstatusser er tilgængelige:
- Aktiv: Politikken er i øjeblikket aktiv og gennemtvunget.
- Inaktiv: Politikken blev tidligere anvendt, men er ikke længere aktiv. En bruger var f.eks. indeholdt, men er nu udgivet.
- Ikke tilgængelig: Politikstatussen gælder ikke for handlingen. Politikstatussen gælder f.eks. ikke for en ikke-behæftet handling, fordi ikke-behæftede handlinger ikke er politikker, men snarere tilbageførslen af en tidligere handling.
- Ingen status: Politikstatussen kunne ikke hentes af forskellige årsager. Handlingen er f.eks. stadig i gang, og den endelige status er endnu ikke bestemt.
Denne visning indeholder entydige data om aktivitets- og politikstatus i den valgte tidsramme. Disse data går ud over visningerne i Løsningscenter, som logfører tidligere handlinger, men som ikke afspejler den aktuelle status.
Spor handlingerne i avanceret jagt
Brug specifikke forespørgsler i avanceret jagt til at spore enhedsopdæmmelse, brugertilslutning og deaktivering af brugerkonto.
Indeslutningsrelaterede hændelser i avanceret jagt
Indeslutning i Microsoft Defender for Endpoint forhindrer yderligere trusselsaktøraktivitet ved at blokere kommunikation fra indeholdte enheder. I avanceret jagt blokerer tabellen DeviceEventshandlinger, der stammer fra indeslutning, og ikke selve den indledende indeslutningshandling:
Enhedsafledte blokhandlinger – Disse hændelser angiver aktivitet (f.eks. netværkskommunikation), der blev blokeret, fordi enheden var indeholdt.
DeviceEvents | where ActionType contains "ContainedDevice"Bruger afledte blokhandlinger – Disse hændelser angiver aktivitet (f.eks. logon- eller ressourceadgangsforsøg), der blev blokeret, fordi brugeren var indeholdt.
DeviceEvents | where ActionType contains "ContainedUser"
Søg efter deaktivering af brugerkontohandlinger
Afbrydelse af angreb bruger afhjælpningshandlingsfunktionen i Microsoft Defender for Identity til at deaktivere konti. Microsoft Defender for Identity bruger som standard domænecontrollerens LocalSystem-konto til alle afhjælpningshandlinger.
Følgende forespørgsel søger efter hændelser, hvor en domænecontroller deaktiverede brugerkonti. Denne forespørgsel returnerer også brugerkonti, der er deaktiveret af automatisk afbrydelse af angreb, ved manuelt at udløse kontodeaktivering i Microsoft Defender XDR:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Den foregående forespørgsel blev tilpasset fra en forespørgsel om Microsoft Defender for Identity – Angrebsforstyrrelse.
Forespørg i tabellen DisruptionAndResponseEvents
Hvis du vil have en bredere, organisationsbaseret visning af alle angrebsafbrydelser, skal du bruge tabellen DisruptionAndResponseEvents i Avanceret jagt. Denne tabel giver en samlet visning af de samme automatiske handlinger, der er synlige under fanen Aktiviteter, men på tværs af hele organisationen i stedet for en enkelt hændelse.
DisruptionAndResponseEvents
| where Timestamp > ago(30d)
| project Timestamp, ActionType, AttackDisruptionCategory, DeviceName, AccountUpn, RemoteIP
| order by Timestamp desc
Hvis du vil tilpasse forespørgslen til en bestemt hændelse, skal du tilføje et filter for hændelses-id'et:
DisruptionAndResponseEvents
| where Timestamp > ago(30d)
| where IncidentId == <incident-id>
| project Timestamp, ActionType, AttackDisruptionCategory, DeviceName, AccountUpn
| order by Timestamp desc
Du kan finde flere oplysninger om tabelskemaet DisruptionAndResponseEvents i tabellen DisruptionAndResponseEvents.
Relateret indhold
- Udelad aktiver fra automatiserede svarhandlinger
- Forudsigende afskærmning i Microsoft Defender
- Administrer forudsigende skjoldning i Microsoft Defender
- Tabellen DisruptionAndResponseEvents
- Hent mailmeddelelser om svarhandlinger
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.