자동 공격 중단 작업의 세부 정보 및 결과

  • 아티클

적용 대상:

  • Microsoft Defender XDR

Microsoft Defender XDR에서 자동 공격 중단이 트리거되면 프로세스 도중 및 후에 손상된 자산의 위험 및 포함 상태에 대한 세부 정보를 사용할 수 있습니다. 인시던트 페이지에서 공격에 대한 전체 세부 정보 및 관련 자산의 최신 상태를 제공하는 세부 정보를 볼 수 있습니다.

인시던트 그래프 검토

Microsoft Defender XDR 자동 공격 중단은 인시던트 보기에 기본 제공되어 있습니다. 인시던트 그래프를 검토하여 전체 공격 스토리를 얻고 공격 중단 영향 및 상태를 평가합니다.

다음은 모양에 대한 몇 가지 예입니다.

  • 중단된 인시던트에는 '공격 중단'에 대한 태그와 식별된 특정 위협 유형(즉, 랜섬웨어)이 포함됩니다. 인시던트 이메일 알림을 구독하는 경우 이러한 태그도 이메일에 표시됩니다.
  • 인시던트가 중단되었음을 나타내는 인시던트 제목 아래에 강조 표시된 알림입니다.
  • 일시 중단된 사용자 및 포함된 디바이스는 상태를 나타내는 레이블과 함께 표시됩니다.

사용자 계정 또는 디바이스를 포함에서 해제하려면 포함된 자산을 클릭하고 디바이스에 대한 포함에서 해제 를 클릭하거나 사용자 계정에 대해 사용자를 사용하도록 설정합니다 .

알림 센터에서 작업 추적

알림 센터(https://security.microsoft.com/action-center)는 디바이스, 전자 메일 & 공동 작업 콘텐츠 및 ID에 대한 수정 및 응답 작업을 함께 제공합니다. 나열된 작업에는 자동으로 또는 수동으로 수행된 수정 작업이 포함됩니다. 알림 센터에서 자동 공격 중단 작업을 볼 수 있습니다.

포함된 자산을 해제할 수 있습니다(예: 차단된 사용자 계정을 사용하도록 설정하거나 작업 세부 정보 창에서 디바이스를 포함에서 해제). 위험을 완화하고 인시던트 조사를 완료한 후 포함된 자산을 해제할 수 있습니다. 알림 센터에 대한 자세한 내용은 알림 센터를 참조하세요.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.

고급 헌팅에서 작업 추적

고급 헌팅에서 특정 쿼리를 사용하여 디바이스 또는 사용자 포함을 추적하고 사용자 계정 작업을 사용하지 않도록 설정할 수 있습니다.

포함 작업 헌팅

공격 중단에 의해 트리거되는 포함 작업은 고급 헌 팅의 DeviceEvents 테이블에서 찾을 수 있습니다. 다음 쿼리를 사용하여 이러한 특정 포함 작업을 헌팅합니다.

  • 디바이스에는 다음 작업이 포함됩니다.
DeviceEvents
| where ActionType contains "ContainDevice"
  • 사용자에게는 다음 작업이 포함됩니다.
DeviceEvents
| where ActionType contains "ContainUser"

사용자 계정 작업 사용 안 함 헌팅

공격 중단은 Microsoft Defender for Identity의 수정 작업 기능을 사용하여 계정을 사용하지 않도록 설정합니다. Defender for Identity는 모든 수정 작업에 기본적으로 도메인 컨트롤러의 LocalSystem 계정을 사용합니다.

다음 쿼리는 도메인 컨트롤러가 사용자 계정을 사용하지 않도록 설정한 이벤트를 찾습니다. 또한 이 쿼리는 Microsoft Defender XDR에서 수동으로 계정 사용 안 함을 트리거하여 자동 공격 중단으로 비활성화된 사용자 계정을 반환합니다.

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

위의 쿼리는 Microsoft Defender for Identity - 공격 중단 쿼리에서 조정되었습니다.

다음 단계