自动攻击中断操作的详细信息和结果

  • 适用于: Microsoft Defender XDR

当Microsoft Defender XDR中触发自动攻击中断时,可以查看有关过程中和之后已泄露资产的风险和包含状态的详细信息。 可以在事件页上查看详细信息,其中提供了攻击的完整详细信息和相关资产的最新状态。

查看事件图

Microsoft Defender XDR事件视图中内置了自动攻击中断。 查看事件图以获取整个攻击事件并评估攻击中断影响和状态。

事件页包括以下信息:

  • 中断事件包括“攻击中断”标记,以及标识 (特定威胁类型,例如勒索软件) 。 如果订阅事件电子邮件通知,这些标记也会显示在电子邮件中。
  • 事件标题下方的突出显示通知,指示事件已中断。
  • 挂起的用户和包含的设备将显示一个标签,指示其状态。

若要从包含中释放用户帐户或设备,请选择包含的资产,并为设备选择 “从包含中释放 ”,或者为用户帐户 启用用户

在操作中心跟踪操作

操作中心 (https://security.microsoft.com/action-center) 汇集了跨设备、电子邮件 & 协作内容和标识的 修正 和响应操作。 列出的操作包括自动或手动执行的修正操作。 可以在操作中心查看自动攻击中断操作。

可以从操作详细信息窗格中释放包含的资产,例如启用被阻止的用户帐户或从包含中释放设备。 在缓解风险并完成事件调查后,可以释放包含的资产。 有关操作中心的详细信息,请参阅 操作中心

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区

在“活动”选项卡中跟踪操作状态 (预览)

事件”页中的“活动”选项卡允许查看与特定事件相关的详细信息,包括活动的启动日期和时间、触发警报等。

活动列表中的“ 策略状态 ”列 (预览版) 提供了事件中执行的操作和策略的有状态列表,使你能够查看环境中所有相关操作和策略的当前状态。 这解决了跟踪正在进行的操作和过期操作的挑战,尤其是在具有许多事件的大型环境中。

若要查看作为事件一部分采取的所有自动攻击中断和预测防护操作,请执行以下操作:

  1. 在事件的“ 活动 ”选项卡中,添加以下筛选器:

    • 选择“ 30 天>自定义范围”,然后选择要调查的操作的相关时间范围。
    • 选择 “执行者 ”,然后选择“ AttackDisruption”。 此筛选器还包括预测屏蔽操作。
    • 选择“ 活动状态 ”,然后选择“ 已完成”。 这会显示已完成操作的当前策略状态,筛选掉部分操作或正在进行的操作。
    • 策略状态:选择 “活动”、“ 非活动”和“ 无状态 ”, (“不适用 ”) 以外的所有选项。

  2. 查看列出的活动。 “ 策略状态 ”列显示每个活动的策略的当前状态。 例如,用户包含在指定的时间范围内,但策略当前处于非活动状态。 这意味着用户不再被包含。

    显示策略状态的“活动”选项卡的屏幕截图。

以下策略状态可用:

  • 活动:策略当前处于活动状态并已强制实施。
  • 非活动:策略以前已应用,但不再处于活动状态。 例如,用户已包含,但此后已被释放。
  • 不适用:策略状态不适用于操作。 例如,策略状态不适用于未控制操作,因为取消控制操作不是策略,而是上一操作的逆转。
  • 无状态:由于各种原因,无法检索策略状态,例如,操作仍在进行中,最终状态尚未确定。

此视图提供有关所选时间范围内活动和策略状态的唯一数据。 此数据超出了操作中心视图的范围,这些视图提供了所执行的操作的历史日志,但不反映这些操作的当前状态。

跟踪高级搜寻中的操作

可以在 高级搜寻 中使用特定查询来跟踪包含设备或用户,并禁用用户帐户操作。

Microsoft Defender for Endpoint中的遏制通过阻止来自包含实体的通信来防止进一步的威胁参与者活动。 在高级搜寻中, DeviceEvents 表 记录 由包含导致的阻止操作,而不是初始包含操作本身:

  • 设备派生的阻止操作 - 这些事件指示活动 (,例如网络通信) ,因为设备被包含而受阻

    DeviceEvents
| where ActionType contains "ContainedDevice"

  • 用户派生的阻止操作 - 这些事件指示活动 (,例如登录或资源访问尝试,) 因包含用户而被阻止

    DeviceEvents
| where ActionType contains "ContainedUser"

搜寻禁用用户帐户操作

攻击中断使用 Microsoft Defender for Identity 的修正操作功能来禁用帐户。 默认情况下,Microsoft Defender for Identity对所有修正操作使用域控制器的 LocalSystem 帐户。

以下查询查找域控制器禁用用户帐户的事件。 此查询还返回在 Microsoft Defender XDR 中手动触发帐户禁用来自动攻击中断禁用的用户帐户:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

前面的查询改编自Microsoft Defender for Identity - 攻击中断查询

相关内容

  • Last updated on