Dettagli e risultati di un'azione di interruzione automatica degli attacchi

Si applica a:

  • Microsoft Defender XDR

Quando si attiva un'interruzione automatica degli attacchi in Microsoft Defender XDR, i dettagli sul rischio e sullo stato di contenimento degli asset compromessi sono disponibili durante e dopo il processo. È possibile visualizzare i dettagli nella pagina dell'evento imprevisto, che fornisce i dettagli completi dell'attacco e lo stato aggiornato degli asset associati.

Esaminare il grafico degli eventi imprevisti

L'interruzione automatica degli attacchi XDR di Microsoft Defender è integrata nella visualizzazione degli eventi imprevisti. Esaminare il grafico degli eventi imprevisti per ottenere l'intera storia dell'attacco e valutare l'impatto e lo stato dell'interruzione dell'attacco.

Di seguito sono riportati alcuni esempi dell'aspetto:

  • Gli eventi imprevisti interrotti includono un tag per "Interruzione degli attacchi" e il tipo di minaccia specifico identificato (ad esempio, ransomware). Se si effettua la sottoscrizione alle notifiche di posta elettronica degli eventi imprevisti, questi tag vengono visualizzati anche nei messaggi di posta elettronica.
  • Notifica evidenziata sotto il titolo dell'evento imprevisto che indica che l'evento imprevisto è stato interrotto.
  • Gli utenti sospesi e i dispositivi contenuti vengono visualizzati con un'etichetta che indica il loro stato.

Per rilasciare un account utente o un dispositivo dal contenimento, fare clic sull'asset contenuto e fare clic su Rilascia dal contenimento per un dispositivo o abilitare l'utente per un account utente.

Tenere traccia delle azioni nel Centro notifiche

Il Centro notifiche (https://security.microsoft.com/action-center) riunisce azioni di correzione e risposta nei dispositivi, posta elettronica & contenuto di collaborazione e identità. Le azioni elencate includono azioni di correzione eseguite automaticamente o manualmente. È possibile visualizzare le azioni di interruzione automatica degli attacchi nel Centro notifiche.

È possibile rilasciare gli asset contenuti, ad esempio abilitare un account utente bloccato o rilasciare un dispositivo dal riquadro dei dettagli dell'azione. È possibile rilasciare gli asset contenuti dopo aver mitigato il rischio e aver completato l'indagine su un evento imprevisto. Per altre informazioni sul centro notifiche, vedere Centro notifiche.

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.

Tenere traccia delle azioni nella ricerca avanzata

È possibile usare query specifiche nella ricerca avanzata per tenere traccia di contenere dispositivi o utenti e disabilitare le azioni dell'account utente.

Ricerca di azioni di contenimento

Le azioni di contenimento attivate dall'interruzione dell'attacco si trovano nella tabella DeviceEvents nella ricerca avanzata. Usare le query seguenti per cercare queste azioni specifiche:

  • Il dispositivo contiene azioni:
DeviceEvents
| where ActionType contains "ContainedDevice"
  • L'utente contiene azioni:
DeviceEvents
| where ActionType contains "ContainedUser"

Cercare di disabilitare le azioni dell'account utente

L'interruzione degli attacchi usa la funzionalità di azione correttiva di Microsoft Defender per identità per disabilitare gli account. Defender per identità usa l'account LocalSystem del controller di dominio per impostazione predefinita per tutte le azioni di correzione.

La query seguente cerca gli eventi in cui un controller di dominio ha disabilitato gli account utente. Questa query restituisce anche gli account utente disabilitati dall'interruzione automatica degli attacchi attivando manualmente la disabilitazione dell'account in Microsoft Defender XDR:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

La query precedente è stata adattata da una query di Microsoft Defender per identità - Interruzione degli attacchi.

Passaggio successivo