Dettagli e risultati di un'azione di interruzione automatica degli attacchi

Quando si attiva l'interruzione automatica degli attacchi in Microsoft Defender XDR, è possibile visualizzare i dettagli del rischio e lo stato di contenimento degli asset compromessi nella pagina degli eventi imprevisti. La pagina fornisce la storia completa dell'attacco e lo stato corrente degli asset associati.

Esaminare il grafico degli eventi imprevisti

Microsoft Defender XDR'interruzione automatica degli attacchi è integrata nella visualizzazione degli eventi imprevisti. Esaminare il grafico degli eventi imprevisti per ottenere l'intera storia dell'attacco e valutare l'impatto e lo stato dell'interruzione dell'attacco.

La pagina degli eventi imprevisti include le informazioni seguenti:

• Gli eventi imprevisti interrotti includono un tag per Attack Disruption e il tipo di minaccia specifico identificato (ad esempio, ransomware). Se si effettua la sottoscrizione alle notifiche di posta elettronica degli eventi imprevisti, questi tag vengono visualizzati anche nei messaggi di posta elettronica.
• Notifica evidenziata sotto il titolo dell'evento imprevisto che indica che l'evento imprevisto è stato interrotto.
• Gli utenti sospesi e i dispositivi contenuti vengono visualizzati con un'etichetta che indica il loro stato.

Per rilasciare un account utente o un dispositivo dal contenimento, selezionare l'asset contenuto e selezionare Release from containment per un dispositivo o abilitare l'utente per un account utente.

Esaminare la scheda di riepilogo dell'interruzione dell'attacco

Quando l'interruzione automatica degli attacchi viene eseguita durante un evento imprevisto, nella pagina dell'evento imprevisto viene visualizzata una scheda di riepilogo dedicata. La scheda di riepilogo offre una rapida panoramica delle azioni di interruzione eseguite. Vengono inoltre visualizzati i dati cronologici relativi all'interruzione nel contesto dell'evento imprevisto, ovvero i dati vengono aggregati dal primo avviso dell'evento imprevisto fino al momento attuale.

Per esaminare la scheda di riepilogo:

1. Nel portale di Microsoft Defender passare a Eventi imprevisti & avvisieventi imprevisti>.

2. Selezionare un evento imprevisto con il tag Disservizio attacco .

3. Nella pagina dell'evento imprevisto individuare la scheda di riepilogo dell'interruzione dell'attacco sul lato destro della pagina. La scheda fornisce:

   • Riepilogo delle azioni automatiche eseguite come parte di questo evento imprevisto.
   • Visualizza attività : passa alla scheda Attività in cui è possibile visualizzare tutte le azioni automatizzate.
   • Visualizzare gli asset correlati : elenca gli asset (endpoint, account, cassette postali, applicazioni) in cui sono state applicate azioni automatizzate.

Tenere traccia delle azioni nel Centro notifiche

Il Centro notifiche (https://security.microsoft.com/action-center) riunisce le azioni di correzione e risposta nei dispositivi, nei contenuti di posta elettronica e collaborazione e nelle identità. Le azioni elencate includono azioni di correzione eseguite automaticamente o manualmente. È possibile visualizzare le azioni di interruzione automatica degli attacchi nel Centro notifiche.

È possibile rilasciare gli asset contenuti, ad esempio abilitare un account utente bloccato o rilasciare un dispositivo dal riquadro dei dettagli dell'azione. È possibile rilasciare gli asset contenuti dopo aver mitigato il rischio e aver completato l'indagine su un evento imprevisto. Per altre informazioni, vedere Centro notifiche.

Tenere traccia dello stato dell'azione nella scheda Attività (anteprima)

La scheda Attività nella pagina Evento imprevisto mostra i dettagli relativi a un evento imprevisto specifico, tra cui la data e l'ora di avvio dell'attività, l'avviso di attivazione e altro ancora.

La colonna Stato dei criteri (anteprima) nell'elenco delle attività fornisce un elenco con stato delle azioni e dei criteri eseguiti all'interno degli eventi imprevisti. È possibile visualizzare lo stato corrente di tutte le azioni e i criteri pertinenti nell'ambiente. Questa funzionalità risolve la sfida di tenere traccia delle azioni in corso e scadute, soprattutto in ambienti di grandi dimensioni con molti eventi imprevisti.

Per visualizzare tutte le interruzioni automatiche degli attacchi e le azioni di schermatura predittiva eseguite come parte di un evento imprevisto:

1. Nella scheda Attività dell'evento imprevisto aggiungere i filtri seguenti:

   • Selezionare Intervallopersonalizzatodi 30 giorni> e selezionare l'intervallo di tempo pertinente per le azioni da analizzare.
   • Selezionare Eseguito da e selezionare AttaccoDisruption. Questo filtro include anche azioni di schermatura predittive.
   • Selezionare Stato attività e quindi Completato. Questo stato mostra lo stato corrente dei criteri per le azioni completate, filtrando le azioni parziali o in corso.
   • Stato dei criteri: selezionare Attivo, Inattivo e Nessun stato (tutte le opzioni tranne Non applicabile).

2. Esaminare le attività elencate. La colonna Stato criteri mostra lo stato corrente dei criteri per ogni attività. Ad esempio, un utente era contenuto nell'intervallo di tempo specificato, ma i criteri sono attualmente inattivi. Questo stato significa che l'utente non è più contenuto.

   

Sono disponibili gli stati dei criteri seguenti:

• Attivo: i criteri sono attualmente attivi e applicati.
• Inattivo: il criterio è stato applicato in precedenza, ma non è più attivo. Ad esempio, un utente era contenuto, ma ora viene rilasciato.
• Non applicabile: lo stato dei criteri non si applica all'azione. Ad esempio, lo stato dei criteri non si applica a un'azione non valida, perché le azioni non valide non sono criteri, ma piuttosto l'inversione di un'azione precedente.
• Nessun stato: non è stato possibile recuperare lo stato dei criteri per vari motivi. Ad esempio, l'azione è ancora in corso e lo stato finale non è ancora determinato.

Questa visualizzazione fornisce dati univoci sullo stato dell'attività e dei criteri nell'intervallo di tempo selezionato. Questi dati vanno oltre le visualizzazioni del Centro notifiche, che registrano le azioni precedenti ma non riflettono lo stato corrente.

Tenere traccia delle azioni nella ricerca avanzata

Usare query specifiche nella ricerca avanzata per tenere traccia delle azioni di contenimento dei dispositivi, contenimento degli utenti e disabilitazione dell'account utente.

Eventi correlati al contenimento nella ricerca avanzata

Il contenimento in Microsoft Defender per endpoint impedisce un'ulteriore attività di attore di minacce bloccando la comunicazione da entità contenute. Nella ricerca avanzata, la tabella DeviceEvents registra le azioni di blocco risultanti dal contenimento, non l'azione di contenimento iniziale stessa:

• Azioni di blocco derivate dal dispositivo : questi eventi indicano un'attività (ad esempio la comunicazione di rete) bloccata perché il dispositivo era contenuto.

  DeviceEvents
  | where ActionType contains "ContainedDevice"
  

• Azioni di blocco derivate dall'utente : questi eventi indicano un'attività (ad esempio tentativi di accesso alle risorse o di accesso alle risorse) che è stata bloccata perché l'utente era contenuto.

  DeviceEvents
  | where ActionType contains "ContainedUser"
  

Cercare di disabilitare le azioni dell'account utente

L'interruzione degli attacchi usa la funzionalità di azione di correzione di Microsoft Defender per identità per disabilitare gli account. Per impostazione predefinita, Microsoft Defender per identità usa l'account LocalSystem del controller di dominio per tutte le azioni di correzione.

La query seguente cerca gli eventi in cui un controller di dominio ha disabilitato gli account utente. Questa query restituisce anche gli account utente disabilitati dall'interruzione automatica degli attacchi attivando manualmente la disabilitazione dell'account in Microsoft Defender XDR:

let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE

La query precedente è stata adattata da una query Microsoft Defender per identità - Interruzione degli attacchi.

Eseguire query sulla tabella DisruptionAndResponseEvents

Per una visualizzazione più ampia a livello di organizzazione di tutte le azioni di interruzione degli attacchi, usare la tabella DisruptionAndResponseEvents in Ricerca avanzata. Questa tabella fornisce una visualizzazione unificata delle stesse azioni automatiche visibili nella scheda Attività, ma nell'intera organizzazione anziché in un singolo evento imprevisto.

DisruptionAndResponseEvents
| where Timestamp > ago(30d)
| project Timestamp, ActionType, AttackDisruptionCategory, DeviceName, AccountUpn, RemoteIP
| order by Timestamp desc

Per definire l'ambito della query per un evento imprevisto specifico, aggiungere un filtro per l'ID evento imprevisto:

DisruptionAndResponseEvents
| where Timestamp > ago(30d)
| where IncidentId == <incident-id>
| project Timestamp, ActionType, AttackDisruptionCategory, DeviceName, AccountUpn
| order by Timestamp desc

Per altre informazioni sullo schema della tabella DisruptionAndResponseEvents, vedere la tabella DisruptionAndResponseEvents.

Contenuto correlato

• Escludere gli asset dalle azioni di risposta automatizzate
• Schermatura predittiva in Microsoft Defender
• Gestire la schermatura predittiva in Microsoft Defender
• Tabella DisruptionAndResponseEvents
• Ottenere notifiche tramite posta elettronica per le azioni di risposta