Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer een automatische aanval wordt onderschept in Microsoft Defender XDR, kunt u de details bekijken over het risico en de insluitingsstatus van gecompromitteerde assets tijdens en na het proces. U kunt de details bekijken op de incidentpagina, die de volledige details van de aanval en de up-to-date status van gekoppelde assets bevat.
Bekijk de incidentgrafiek
Microsoft Defender XDR automatische aanvalsonderbreking is ingebouwd in de incidentweergave. Bekijk de incidentgrafiek om het hele aanvalsverhaal op te halen en de impact en status van de aanvalsonderbreking te beoordelen.
De incidentpagina bevat de volgende informatie:
- Verstoorde incidenten omvatten een tag voor 'Aanvalsonderbreking' en het specifieke bedreigingstype dat is geïdentificeerd (bijvoorbeeld ransomware). Als u zich abonneert op e-mailmeldingen voor incidenten, worden deze tags ook weergegeven in de e-mailberichten.
- Een gemarkeerde melding onder de titel van het incident die aangeeft dat het incident is onderbroken.
- Onderbroken gebruikers en ingesloten apparaten worden weergegeven met een label dat hun status aangeeft.
Als u een gebruikersaccount of een apparaat wilt vrijgeven van insluiting, selecteert u de ingesloten asset en selecteert u Release van insluiting voor een apparaat of schakelt u een gebruiker in voor een gebruikersaccount.
De acties bijhouden in het actiecentrum
Het actiecentrum (https://security.microsoft.com/action-center) brengt herstel- en reactieacties op al uw apparaten, e-mail & samenwerkingsinhoud en identiteiten samen. De vermelde acties omvatten herstelacties die automatisch of handmatig zijn uitgevoerd. U kunt automatische aanvalsonderbrekingsacties bekijken in het Actiecentrum.
U kunt de ingesloten assets vrijgeven, bijvoorbeeld een geblokkeerd gebruikersaccount inschakelen of een apparaat vrijgeven uit insluiting, vanuit het detailvenster van de actie. U kunt de ingesloten activa vrijgeven nadat u het risico hebt beperkt en het onderzoek van een incident hebt voltooid. Zie Actiecentrum voor meer informatie over het actiecentrum.
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.
De actiestatus bijhouden op het tabblad Activiteiten (preview)
Op het tabblad Activiteiten op de pagina Incident kunt u details bekijken die betrekking hebben op een specifiek incident, zoals de datum en tijd waarop de activiteit is gestart, de waarschuwing die wordt geactiveerd en meer.
De kolom Beleidsstatus (preview) in de lijst met activiteiten bevat een stateful lijst met acties en beleidsregels die zijn uitgevoerd binnen incidenten, zodat u de huidige status van alle relevante acties en beleidsregels in uw omgeving kunt zien. Hiermee wordt de uitdaging opgelost om lopende en verlopen acties bij te houden, met name in grote omgevingen met veel incidenten.
Als u alle automatische aanvalsonderbrekingen en voorspellende afschermingsacties wilt weergeven die als onderdeel van een incident worden uitgevoerd:
Voeg op het tabblad Activiteiten van het incident de volgende filters toe:
- SelecteerAangepast bereikvan 30 dagen> en selecteer het relevante tijdsbestek voor de acties die u wilt onderzoeken.
- Selecteer Uitgevoerd door en selecteer AttackDisruption. Dit filter bevat ook voorspellende afschermingsacties.
- Selecteer Activiteitsstatus en selecteer Voltooid. Hiermee ziet u de huidige beleidsstatus voor voltooide acties, waarbij gedeeltelijke of actieve acties worden uitgefilterd.
- Beleidsstatus: selecteer Actief, Inactief en Geen status (alle opties behalve Niet van toepassing).
Bekijk de vermelde activiteiten. In de kolom Beleidsstatus ziet u de huidige status van het beleid voor elke activiteit. Een gebruiker was bijvoorbeeld opgenomen in het opgegeven tijdsbestek, maar het beleid is momenteel inactief. Dit betekent dat de gebruiker niet meer is opgenomen.
De volgende beleidsstatussen zijn beschikbaar:
- Actief: het beleid is momenteel actief en afgedwongen.
- Inactief: het beleid is eerder toegepast, maar is niet meer actief. Een gebruiker is bijvoorbeeld opgenomen, maar is sindsdien vrijgegeven.
- Niet van toepassing: de beleidsstatus is niet van toepassing op de actie. De beleidsstatus is bijvoorbeeld niet van toepassing op een actie die niet vasthoudt, omdat acties die niet worden vastgetekend geen beleid zijn, maar eerder de omkering van een eerdere actie.
- Geen status: de beleidsstatus kan om verschillende redenen niet worden opgehaald, bijvoorbeeld omdat de actie nog steeds wordt uitgevoerd en de uiteindelijke status nog niet is bepaald.
Deze weergave bevat unieke gegevens over de activiteit en beleidsstatus in het geselecteerde tijdsbestek. Deze gegevens gaan verder dan de weergaven van het Actiecentrum, die een historisch logboek van uitgevoerde acties bieden, maar niet de huidige status van deze acties weergeven.
De acties bijhouden in geavanceerde opsporing
U kunt specifieke query's in geavanceerde opsporing gebruiken om het apparaat of de gebruiker bij te houden en gebruikersaccountacties uit te schakelen.
Insluitingsgerelateerde gebeurtenissen in geavanceerde opsporing
Insluiting in Microsoft Defender voor Eindpunt verdere activiteit van bedreigingsacteuren voorkomt door communicatie van ingesloten entiteiten te blokkeren. Bij geavanceerde opsporing blokkeren de logboeken van de tabel DeviceEventsacties die het gevolg zijn van insluiting, niet de initiële insluitingsactie zelf:
Apparaat-afgeleide blokacties : deze gebeurtenissen duiden op activiteit (zoals netwerkcommunicatie) die is geblokkeerd omdat het apparaat is opgenomen:
DeviceEvents | where ActionType contains "ContainedDevice"Door de gebruiker afgeleide blokacties : deze gebeurtenissen duiden op activiteit (zoals aanmeldings- of resourcetoegangspogingen) die is geblokkeerd omdat de gebruiker is opgenomen:
DeviceEvents | where ActionType contains "ContainedUser"
Zoeken naar acties voor het uitschakelen van gebruikersaccounts
Aanvalsonderbreking maakt gebruik van de herstelactiemogelijkheid van Microsoft Defender for Identity om accounts uit te schakelen. Standaard gebruikt Microsoft Defender for Identity het LocalSystem-account van de domeincontroller voor alle herstelacties.
Met de volgende query wordt gezocht naar gebeurtenissen waarbij een domeincontroller gebruikersaccounts heeft uitgeschakeld. Deze query retourneert ook gebruikersaccounts die zijn uitgeschakeld door automatische aanvalsonderbreking door het uitschakelen van accounts in Microsoft Defender XDR handmatig te activeren:
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
De voorgaande query is aangepast vanuit een Microsoft Defender for Identity - Attack Disruption-query.