Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При срабатывании автоматического нарушения атаки в Microsoft Defender XDR можно просмотреть сведения о риске и состоянии сдерживания скомпрометированных ресурсов во время и после процесса. Сведения можно просмотреть на странице инцидента, где содержатся полные сведения об атаке и актуальное состояние связанных ресурсов.
Просмотр графа инцидентов
Microsoft Defender XDR автоматическое нарушение атаки встроено в представление инцидента. Просмотрите граф инцидентов, чтобы получить всю историю атаки и оценить влияние и состояние нарушения атаки.
На странице инцидента содержатся следующие сведения:
- Нарушенные инциденты включают тег "Нарушение атаки" и определенный тип угрозы (например, программа-шантажист). Если вы подписываетесь на Уведомления по электронной почте инцидента, эти теги также отображаются в сообщениях электронной почты.
- Выделенное уведомление под заголовком инцидента, указывающее, что инцидент был нарушен.
- Приостановленные пользователи и автономные устройства отображаются с меткой, указывающей их состояние.
Чтобы освободить учетную запись пользователя или устройство от включения, выберите автономный ресурс и выберите освобождение из автономной среды для устройства или включить пользователя для учетной записи пользователя.
Отслеживание действий в центре уведомлений
Центр уведомлений (https://security.microsoft.com/action-center) объединяет действия по исправлению и реагированию на устройствах, электронную почту & содержимое для совместной работы и удостоверения. Перечисленные действия включают действия по исправлению, которые были выполнены автоматически или вручную. Действия автоматического прерывания атаки можно просмотреть в центре уведомлений.
Вы можете освободить автономные ресурсы, например включить заблокированную учетную запись пользователя или освободить устройство из автономной среды, в области сведений о действии. Вы можете освободить автономные ресурсы после снижения риска и завершения расследования инцидента. Дополнительные сведения о центре уведомлений см. в разделе Центр уведомлений.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.
Отслеживание состояния действия на вкладке Действия (предварительная версия)
Вкладка Действия на странице Инцидент позволяет просмотреть сведения, связанные с конкретным инцидентом, включая дату и время начала действия, оповещение о срабатывании и многое другое.
Столбец Состояние политики (предварительная версия) в списке действий содержит список действий и политик с отслеживанием состояния, выполняемых в инцидентах, что позволяет просматривать текущее состояние всех соответствующих действий и политик в вашей среде. Это решает проблему отслеживания текущих и просроченных действий, особенно в крупных средах с большим количеством инцидентов.
Чтобы просмотреть все действия автоматического нарушения атак и прогнозного экранирования, выполняемые в рамках инцидента, выполните следующие действия:
На вкладке Действия инцидента добавьте следующие фильтры:
- Выберите 30 дней>Настраиваемый диапазон и выберите соответствующий период времени для действий, которые требуется исследовать.
- Выберите Выполняется и выберите АтакаРазвержение. Этот фильтр также включает в себя действия прогнозного экранирования.
- Выберите Состояние действия и выберите Завершено. Здесь отображается текущее состояние политики для завершенных действий, отфильтровывание частичных или выполняемых действий.
- Состояние политики: выберите Активный, Неактивный и Нет состояния (все параметры, кроме неприменимо).
Просмотрите перечисленные действия. В столбце Состояние политики отображается текущее состояние политики для каждого действия. Например, пользователь содержался за указанный период времени, но политика в настоящее время неактивна. Это означает, что пользователь больше не содержится.
Доступны следующие состояния политики:
- Активно: политика в настоящее время активна и применяется.
- Неактивен: политика была применена ранее, но больше не активна. Например, пользователь был сдержанным, но с тех пор был освобожден.
- Неприменимо. Состояние политики не применяется к действию. Например, состояние политики не применяется к незадерживаемой операции, так как незадержимые действия являются не политиками, а скорее отменой предыдущего действия.
- Нет состояния. Состояние политики не удалось получить по разным причинам, например, действие все еще выполняется, а окончательное состояние еще не определено.
Это представление предоставляет уникальные данные о состоянии действия и политики за выбранный период времени. Эти данные выходят за рамки представлений центра уведомлений, которые предоставляют журнал выполненных действий, но не отражают текущее состояние этих действий.
Отслеживание действий в расширенной охоте
Вы можете использовать определенные запросы в расширенной охоте , чтобы отслеживать устройство или пользователя, а также отключать действия учетных записей пользователей.
События, связанные с сдерживанием, в расширенной охоте
Сдерживание в Microsoft Defender для конечной точки предотвращает дальнейшие действия субъекта угроз, блокируя обмен данными из автономных сущностей. При расширенной охоте журналы таблицы DeviceEventsблокируют действия, которые возникают в результате сдерживания, а не самого первоначального действия сдерживания:
Действия блока, производные от устройства . Эти события указывают на активность (например, сетевое взаимодействие), которая была заблокирована из-за того, что устройство было размещено:
DeviceEvents | where ActionType contains "ContainedDevice"Действия блока, производные от пользователя . Эти события указывают на действия (например, вход или попытки доступа к ресурсам), которые были заблокированы из-за того, что пользователь был заблокирован:
DeviceEvents | where ActionType contains "ContainedUser"
Поиск действий по отключению учетных записей пользователей
Для прерывания атаки используется возможность действий по исправлению Microsoft Defender для удостоверений для отключения учетных записей. По умолчанию Microsoft Defender для удостоверений использует учетную запись LocalSystem контроллера домена для всех действий по исправлению.
Следующий запрос ищет события, в которых контроллер домена отключил учетные записи пользователей. Этот запрос также возвращает учетные записи пользователей, отключенные автоматическим нарушением атаки, путем активации отключения учетной записи в Microsoft Defender XDR вручную:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
Предыдущий запрос был адаптирован на основе запроса Microsoft Defender для удостоверений — Атака прерывания.