Detalles y resultados de una acción de interrupción automática de ataques

  • Se aplica a: Microsoft Defender XDR

Cuando se desencadena una interrupción automática de ataques en Microsoft Defender XDR, puede ver los detalles sobre el riesgo y el estado de contención de los recursos en peligro durante y después del proceso. Puede ver los detalles en la página del incidente, que proporciona los detalles completos del ataque y el estado actualizado de los recursos asociados.

Revisión del gráfico de incidentes

Microsoft Defender XDR interrupción automática de ataques está integrada en la vista de incidentes. Revise el gráfico de incidentes para obtener todo el historial de ataques y evaluar el impacto y el estado de la interrupción del ataque.

La página del incidente incluye la siguiente información:

  • Los incidentes interrumpidos incluyen una etiqueta para "Interrupción de ataque" y el tipo de amenaza específico identificado (por ejemplo, ransomware). Si se suscribe a las notificaciones por correo electrónico de incidentes, estas etiquetas también aparecen en los correos electrónicos.
  • Una notificación resaltada debajo del título del incidente que indica que el incidente se interrumpió.
  • Los usuarios suspendidos y los dispositivos contenidos aparecen con una etiqueta que indica su estado.

Para liberar una cuenta de usuario o un dispositivo de contención, seleccione el recurso contenido y seleccione Liberar de la contención de un dispositivo o habilitar el usuario para una cuenta de usuario.

Seguimiento de las acciones en el Centro de acciones

El Centro de acciones (https://security.microsoft.com/action-center) reúne acciones de corrección y respuesta en todos los dispositivos, correo electrónico & contenido de colaboración e identidades. Las acciones enumeradas incluyen acciones de corrección que se realizaron de forma automática o manual. Puede ver las acciones de interrupción automática de ataques en el Centro de acciones.

Puede liberar los recursos contenidos, por ejemplo, habilitar una cuenta de usuario bloqueada o liberar un dispositivo de la contención desde el panel de detalles de la acción. Puede liberar los recursos contenidos después de mitigar el riesgo y completar la investigación de un incidente. Para obtener más información sobre el centro de acciones, vea Centro de acciones.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

Seguimiento del estado de la acción en la pestaña Actividades (versión preliminar)

La pestaña Actividades de la página Incidente permite ver los detalles relacionados con un incidente específico, incluida la fecha y hora en que se inició la actividad, la alerta desencadenante, etc.

La columna Estado de la directiva (versión preliminar) de la lista de actividades proporciona una lista con estado de las acciones y directivas realizadas dentro de incidentes, lo que le permite ver el estado actual de todas las acciones y directivas pertinentes en su entorno. Esto soluciona el desafío de realizar un seguimiento de las acciones en curso y expiradas, especialmente en entornos grandes con muchos incidentes.

Para ver todas las acciones de protección predictiva y de interrupción automática de ataques tomadas como parte de un incidente:

  1. En la pestaña Actividades del incidente, agregue los filtros siguientes:

    • Seleccione Intervalopersonalizadode 30 días> y seleccione el período de tiempo correspondiente para las acciones que desea investigar.
    • Seleccione Realizado por y seleccione AttackDisruption. Este filtro también incluye acciones de blindaje predictivo.
    • Seleccione Estado de la actividad y seleccione Completado. Esto muestra el estado actual de la directiva para las acciones que se completan, filtrando las acciones parciales o en curso.
    • Estado de la directiva: seleccione Estado activo, Inactivo y Sin (todas las opciones excepto No aplicable).

  2. Revise las actividades enumeradas. La columna Estado de la directiva muestra el estado actual de la directiva para cada actividad. Por ejemplo, un usuario estaba contenido en el período de tiempo especificado, pero la directiva está actualmente inactiva. Esto significa que el usuario ya no está contenido.

    Captura de pantalla de la pestaña Actividades que muestra el estado de la directiva.

Están disponibles los siguientes estados de directiva:

  • Activo: la directiva está activa y aplicada actualmente.
  • Inactivo: la directiva se aplicó anteriormente, pero ya no está activa. Por ejemplo, un usuario estaba contenido, pero desde entonces se ha publicado.
  • No aplicable: el estado de la directiva no se aplica a la acción. Por ejemplo, el estado de la directiva no se aplica a una acción incontenible, porque las acciones no contendidas no son directivas, sino la reversión de una acción anterior.
  • Sin estado: el estado de la directiva no se pudo recuperar por varias razones, por ejemplo, la acción todavía está en curso y el estado final aún no se ha determinado.

Esta vista proporciona datos únicos sobre la actividad y el estado de la directiva en el período de tiempo seleccionado. Estos datos van más allá de las vistas del Centro de acciones, que proporcionan un registro histórico de las acciones realizadas, pero no reflejan el estado actual de esas acciones.

Seguimiento de las acciones en la búsqueda avanzada

Puede usar consultas específicas en la búsqueda avanzada para realizar un seguimiento de los dispositivos o usuarios y deshabilitar las acciones de la cuenta de usuario.

La contención en Microsoft Defender para punto de conexión evita una mayor actividad de actor de amenazas bloqueando la comunicación desde entidades independientes. En la búsqueda avanzada, la tabla DeviceEvents registra acciones de bloque que resultan de la contención, no de la propia acción de contención inicial:

  • Acciones de bloque derivadas del dispositivo : estos eventos indican la actividad (como la comunicación de red) que se bloqueó porque el dispositivo estaba contenido:

    DeviceEvents
| where ActionType contains "ContainedDevice"

  • Acciones de bloque derivadas por el usuario : estos eventos indican la actividad (como el inicio de sesión o los intentos de acceso a recursos) que se bloqueó porque el usuario estaba contenido:

    DeviceEvents
| where ActionType contains "ContainedUser"

Búsqueda de acciones de deshabilitación de la cuenta de usuario

La interrupción de ataques usa la funcionalidad de acción de corrección de Microsoft Defender for Identity para deshabilitar las cuentas. De forma predeterminada, Microsoft Defender for Identity usa la cuenta LocalSystem del controlador de dominio para todas las acciones de corrección.

La consulta siguiente busca eventos en los que un controlador de dominio deshabilitó las cuentas de usuario. Esta consulta también devuelve cuentas de usuario deshabilitadas por interrupción automática de ataques desencadenando la deshabilitación de la cuenta en Microsoft Defender XDR manualmente:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

La consulta anterior se adaptó a partir de una consulta Microsoft Defender for Identity: Interrupción de ataque.

Contenido relacionado

  • Last updated on