Details en resultaten van een automatische aanvalsonderbrekingsactie

Van toepassing op: Microsoft Defender XDR

Wanneer automatische aanvalsonderbreking wordt geactiveerd in Microsoft Defender XDR, kunt u de risicodetails en de insluitingsstatus van gecompromitteerde assets bekijken op de incidentpagina. De pagina bevat het volledige aanvalsverhaal en de huidige status van gekoppelde assets.

Bekijk de incidentgrafiek

Microsoft Defender XDR automatische aanvalsonderbreking is ingebouwd in de incidentweergave. Bekijk de incidentgrafiek om het hele aanvalsverhaal op te halen en de impact en status van de aanvalsonderbreking te beoordelen.

De incidentpagina bevat de volgende informatie:

Verstoorde incidenten omvatten een tag voor Attack Disruption en het specifieke bedreigingstype dat is geïdentificeerd (bijvoorbeeld ransomware). Als u zich abonneert op e-mailmeldingen voor incidenten, worden deze tags ook weergegeven in de e-mailberichten.
Een gemarkeerde melding onder de titel van het incident die aangeeft dat het incident is onderbroken.
Onderbroken gebruikers en ingesloten apparaten worden weergegeven met een label dat hun status aangeeft.

Als u een gebruikersaccount of een apparaat wilt vrijgeven van insluiting, selecteert u de ingesloten asset en selecteert u Release van insluiting voor een apparaat of schakelt u een gebruiker in voor een gebruikersaccount.

Opmerking

Voordat u een actie ongedaan maakt, beoordeelt u het risico en voltooit u uw onderzoek. Als een ingesloten asset voortijdig wordt vrijgegeven, kan een aanvaller de activiteit hervatten.

De overzichtskaart van de aanvalsonderbreking bekijken

Wanneer automatische aanvalsonderbreking actie onderneemt tijdens een incident, wordt een speciale overzichtskaart weergegeven op de incidentpagina. De overzichtskaart geeft u een snel overzicht van de uitgevoerde storingen. Er worden ook historische gegevens weergegeven met betrekking tot onderbrekingen in de context van het incident, wat betekent dat de gegevens worden geaggregeerd vanaf de eerste waarschuwing van het incident tot de huidige tijd.

De overzichtskaart controleren:

Ga in de Microsoft Defender-portal naar Incidenten & waarschuwingen>Incidenten.
Selecteer een incident met de tag Aanvalsonderbreking .
Zoek op de incidentpagina de overzichtskaart van de aanvalsonderbreking aan de rechterkant van de pagina. De kaart bevat:
- Een samenvatting van de automatische acties die zijn uitgevoerd als onderdeel van dit incident.
- Activiteiten weergeven : navigeert naar het tabblad Activiteiten , waar u alle geautomatiseerde acties kunt zien.
- Gerelateerde assets weergeven : geeft een overzicht van de assets (eindpunten, accounts, postvakken, toepassingen) waarop geautomatiseerde acties zijn toegepast.

De acties bijhouden in het actiecentrum

Het actiecentrum (https://security.microsoft.com/action-center) brengt herstel- en reactieacties op uw apparaten, e-mail- en samenwerkingsinhoud en identiteiten samen. De vermelde acties omvatten herstelacties die automatisch of handmatig zijn uitgevoerd. U kunt automatische aanvalsonderbrekingsacties bekijken in het Actiecentrum.

U kunt de ingesloten assets vrijgeven, bijvoorbeeld een geblokkeerd gebruikersaccount inschakelen of een apparaat vrijgeven uit insluiting, vanuit het detailvenster van de actie. U kunt de ingesloten activa vrijgeven nadat u het risico hebt beperkt en het onderzoek van een incident hebt voltooid. Zie Actiecentrum voor meer informatie.

De actiestatus bijhouden op het tabblad Activiteiten (preview)

Op het tabblad Activiteiten op de pagina Incident ziet u details met betrekking tot een specifiek incident, waaronder de datum en tijd waarop de activiteit is gestart, de waarschuwing die wordt geactiveerd en meer.

De kolom Beleidsstatus (preview) in de lijst met activiteiten bevat een stateful lijst met acties en beleidsregels die zijn uitgevoerd binnen incidenten. U kunt de huidige status van alle relevante acties en beleidsregels in uw omgeving bekijken. Deze functie lost de uitdaging op van het bijhouden van lopende en verlopen acties, met name in grote omgevingen met veel incidenten.

Als u alle automatische aanvalsonderbrekingen en voorspellende afschermingsacties wilt weergeven die als onderdeel van een incident worden uitgevoerd:

Voeg op het tabblad Activiteiten van het incident de volgende filters toe:
- SelecteerAangepast bereikvan 30 dagen> en selecteer het relevante tijdsbestek voor de acties die u wilt onderzoeken.
- Selecteer Uitgevoerd door en selecteer AttackDisruption. Dit filter bevat ook voorspellende afschermingsacties.
- Selecteer Activiteitsstatus en selecteer Voltooid. Deze status geeft de huidige beleidsstatus weer voor acties die zijn voltooid, waarbij gedeeltelijke of actieve acties worden uitgefilterd.
- Beleidsstatus: selecteer Actief, Inactief en Geen status (alle opties behalve Niet van toepassing).
Bekijk de vermelde activiteiten. In de kolom Beleidsstatus ziet u de huidige status van het beleid voor elke activiteit. Een gebruiker was bijvoorbeeld opgenomen in het opgegeven tijdsbestek, maar het beleid is momenteel inactief. Deze status betekent dat de gebruiker niet meer is opgenomen.

Tip

Voorspellende afschermingsacties worden ook weergegeven wanneer u filtert op AttackDisruption in het filter Uitgevoerd op . Terwijl aanvalsonderbreking reageert op een actieve aanval door gecompromitteerde assets te bevatten, anticipeert voorspellende afscherming op potentiële aanvalsvoortgang en worden voorzorgsmaatregelen toegepast. Zie de volgende artikelen voor een lijst met ondersteunde voorspellende afschermingsacties en meer informatie over het beheren ervan:

De volgende beleidsstatussen zijn beschikbaar:

Actief: het beleid is momenteel actief en afgedwongen.
Inactief: het beleid is eerder toegepast, maar is niet meer actief. Een gebruiker was bijvoorbeeld opgenomen, maar is nu vrijgegeven.
Niet van toepassing: de beleidsstatus is niet van toepassing op de actie. De beleidsstatus is bijvoorbeeld niet van toepassing op een actie die niet vasthoudt, omdat acties die niet worden vastgetekend geen beleid zijn, maar eerder de omkering van een eerdere actie.
Geen status: de beleidsstatus kan om verschillende redenen niet worden opgehaald. De actie wordt bijvoorbeeld nog uitgevoerd en de uiteindelijke status is nog niet bepaald.

Deze weergave bevat unieke gegevens over de activiteit en beleidsstatus in het geselecteerde tijdsbestek. Deze gegevens gaan verder dan de weergaven van het Actiecentrum, waarin eerdere acties worden geregistreerd, maar niet de huidige status weergeven.

De acties bijhouden in geavanceerde opsporing

Gebruik specifieke query's in geavanceerde opsporing om apparaatinsluiting, gebruikersinsluiting en uitschakelen van gebruikersaccounts bij te houden.

Insluiting in Microsoft Defender voor Eindpunt verdere activiteit van bedreigingsacteuren voorkomt door communicatie van ingesloten entiteiten te blokkeren. Bij geavanceerde opsporing blokkeren de logboeken van de tabel DeviceEventsacties die het gevolg zijn van insluiting, niet de initiële insluitingsactie zelf:

Apparaat-afgeleide blokacties : deze gebeurtenissen duiden op activiteit (zoals netwerkcommunicatie) die is geblokkeerd omdat het apparaat is opgenomen.
```
DeviceEvents
| where ActionType contains "ContainedDevice"
```
Door de gebruiker afgeleide blokacties : deze gebeurtenissen duiden op activiteit (zoals aanmeldings- of resourcetoegangspogingen) die is geblokkeerd omdat de gebruiker was opgenomen.
```
DeviceEvents
| where ActionType contains "ContainedUser"
```

Zoeken naar acties voor het uitschakelen van gebruikersaccounts

Aanvalsonderbreking maakt gebruik van de herstelactiemogelijkheid van Microsoft Defender for Identity om accounts uit te schakelen. Standaard gebruikt Microsoft Defender for Identity het LocalSystem-account van de domeincontroller voor alle herstelacties.

Met de volgende query wordt gezocht naar gebeurtenissen waarbij een domeincontroller gebruikersaccounts heeft uitgeschakeld. Deze query retourneert ook gebruikersaccounts die zijn uitgeschakeld door automatische aanvalsonderbreking door het uitschakelen van accounts handmatig te activeren in Microsoft Defender XDR:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

De voorgaande query is aangepast vanuit een Microsoft Defender for Identity - Attack Disruption-query.

Query uitvoeren op de tabel DisruptionAndResponseEvents

Gebruik de tabel DisruptionAndResponseEvents in Geavanceerde opsporing voor een bredere, organisatiebrede weergave van alle aanvalsonderbrekingsacties. Deze tabel biedt een uniforme weergave van dezelfde automatische acties die zichtbaar zijn op het tabblad Activiteiten, maar in uw hele organisatie in plaats van één incident.

DisruptionAndResponseEvents
| where Timestamp > ago(30d)
| project Timestamp, ActionType, AttackDisruptionCategory, DeviceName, AccountUpn, RemoteIP
| order by Timestamp desc

Voeg een filter toe voor de incident-id om de query te bepalen voor een specifiek incident:

DisruptionAndResponseEvents
| where Timestamp > ago(30d)
| where IncidentId == <incident-id>
| project Timestamp, ActionType, AttackDisruptionCategory, DeviceName, AccountUpn
| order by Timestamp desc

Zie de tabel DisruptionAndResponseEvents voor meer informatie over het tabelschema DisruptionAndResponseEvents.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.

Feedback

Is deze pagina nuttig?

Last updated on 2026-05-19