Microsoft Defender XDRで自動攻撃中断がトリガーされると、プロセス中およびプロセス後に侵害された資産のリスクと封じ込め状態の詳細を表示できます。 インシデント ページで詳細を表示できます。これにより、攻撃の詳細と、関連する資産の最新の状態が表示されます。
インシデント グラフを確認する
自動攻撃の中断Microsoft Defender XDRインシデント ビューに組み込まれています。 インシデント グラフを確認して、攻撃のストーリー全体を取得し、攻撃の中断の影響と状態を評価します。
インシデント ページには、次の情報が含まれています。
- 中断されたインシデントには、"攻撃の中断" のタグと、特定された特定の脅威の種類 (ランサムウェアなど) が含まれます。 インシデントメール通知をサブスクライブすると、これらのタグもメールに表示されます。
- インシデントが中断されたことを示すインシデント タイトルの下の強調表示された通知。
- 中断されたユーザーと包含デバイスには、状態を示すラベルが表示されます。
ユーザー アカウントまたはデバイスを包含から解放するには、包含資産を選択し、デバイスの 包含からリリース を選択するか、ユーザー アカウントの ユーザーを有効にします 。
アクション センターでアクションを追跡する
アクション センター (https://security.microsoft.com/action-center) では、デバイス全体の 修復 アクションと応答アクション、電子メール & コラボレーション コンテンツ、ID がまとめられます。 一覧に表示されるアクションには、自動的または手動で実行された修復アクションが含まれます。 アクション センターでは、自動攻撃中断アクションを表示できます。
包含資産を解放できます。たとえば、ブロックされたユーザー アカウントを有効にしたり、アクションの詳細ウィンドウからデバイスを包含から解放したりできます。 リスクを軽減し、インシデントの調査を完了した後で、包含資産を解放できます。 アクション センターの詳細については、「 アクション センター」を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。
高度なハンティングのアクションを追跡する
高度なハンティングで特定のクエリを使用して、デバイスまたはユーザーを含む追跡したり、ユーザー アカウントアクションを無効にしたりできます。
高度なハンティングにおけるコンテインメント関連のイベント
Microsoft Defender for Endpointの包含は、包含エンティティからの通信をブロックすることで、脅威アクターのアクティビティをさらに防ぎます。 高度なハンティングでは、 DeviceEvents テーブル ログは、最初の包含アクション自体ではなく、 包含の結果として発生するアクションをブロックします。
デバイス派生ブロック アクション - これらのイベントは、 デバイスが含まれていたためにブロックされたアクティビティ (ネットワーク通信など) を示します。
DeviceEvents | where ActionType contains "ContainedDevice"ユーザー派生ブロック アクション - これらのイベントは、 ユーザーが含まれていたためにブロックされたアクティビティ (サインインやリソース アクセスの試行など) を示します。
DeviceEvents | where ActionType contains "ContainedUser"
ユーザー アカウントの無効化アクションを検索する
攻撃の中断では、ID のMicrosoft Defenderの修復アクション機能を使用してアカウントを無効にします。 既定では、MICROSOFT DEFENDER for Identity では、すべての修復アクションにドメイン コントローラーの LocalSystem アカウントが使用されます。
次のクエリでは、ドメイン コントローラーがユーザー アカウントを無効にしたイベントを検索します。 このクエリでは、手動でアカウントの無効化をトリガーすることで、自動攻撃の中断によって無効になっているユーザー アカウントMicrosoft Defender XDR返されます。
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
上記のクエリは、ID - 攻撃中断クエリのMicrosoft Defenderから調整されました。