适用于:
通过隔离设备或收集调查包来快速响应检测到的攻击。 对设备执行作后,可以在作中心检查活动详细信息。
响应作沿着特定设备页的顶部运行,包括:
- 管理标签
- 启动自动调查
- 启动实时响应会话
- 收集调查程序包
- 运行防病毒扫描
- 限制应用执行
- 隔离设备
- 包含设备
- 咨询威胁专家
- 操作中心
可以从以下任一视图中查找设备页:
- 警报队列:从警报队列中选择设备图标旁边的设备名称。
- 设备列表:从设备列表中选择设备名称的标题。
- 搜索框:从下拉菜单中选择“ 设备 ”,然后输入设备名称。
管理标签
添加或管理标记以创建逻辑组附属关系。 设备标记支持网络适当映射,可附加不同的标记以捕获上下文,并启用在事件过程中创建动态列表。
有关设备标记的详细信息,请参阅 创建和管理设备标记。
启动自动调查
如果需要,可以在设备上启动新的常规用途自动调查。 调查正在运行时,从设备生成的任何其他警报都会添加到正在进行的自动调查中,直到调查完成。 此外,如果在其他设备上看到相同的威胁,则会将这些设备添加到调查中。
有关自动调查的详细信息,请参阅 自动调查概述。
启动实时响应会话
实时响应是一项功能,可让你使用远程 shell 连接即时访问设备。 这使你能够进行深入的调查工作,并立即采取响应作,以及时实时遏制已识别的威胁。
实时响应旨在通过收集取证数据、运行脚本、发送可疑实体进行分析、修正威胁以及主动搜寻新出现的威胁来增强调查。
有关实时响应的详细信息,请参阅 使用实时响应调查设备上的实体。
从设备收集调查包
作为调查或响应过程的一部分,可以从设备收集调查包。 通过收集调查包,可以识别设备的当前状态,并进一步了解攻击者使用的工具和技术。
若要下载包 (压缩文件夹) 并调查设备上发生的事件,请执行以下步骤:
从设备页面顶部的响应作行中选择“ 收集调查包 ”。
在文本框中指定要执行此作的原因。 选择“确认”。
zip 文件下载。
或者,使用以下备用过程:
从设备页的响应作部分选择 “收集调查包 ”。
添加批注,然后选择“ 确认”。
从设备页的响应作部分选择“ 作中心 ”。
选择 “可用于下载收集包 的包”。
注意
如果设备的电池电量较低或采用按流量计费的连接,则调查包的收集可能会失败。
Windows 设备的调查包内容
对于 Windows 设备,包包含下表中所述的文件夹:
ActiveNetConnections.txtArp.txtDnsCache.txtIpConfig.txtFirewallExecutionLog.txtpfirewall.logpfirewall.log%windir%\system32\logfiles\firewall\pfirewall.logPrefetch folder%SystemRoot%\PrefetchPrefetchFilesList.txtSMBOutboundSessionSMBInboundSessionsSystemInformation.txt%Temp%MpCmdRunLog.txtMPSupportFiles.cab适用于 Mac 和 Linux 设备的调查包内容
下表列出了适用于 Mac 和 Linux 设备的集合包的内容:
| Object | macOS | Linux |
|---|---|---|
| 应用程序 | 所有已安装应用程序的列表 | 不适用 |
| 磁盘卷 | - 可用空间量 - 所有已装载磁盘卷的列表 - 所有分区的列表 |
- 可用空间量 - 所有已装载磁盘卷的列表 - 所有分区的列表 |
| 文件 | 所有打开的文件的列表,其中包含使用这些文件的相应进程 | 所有打开的文件的列表,其中包含使用这些文件的相应进程 |
| 历史记录 | Shell 历史记录 | 不适用 |
| 内核模块 | 所有加载的模块 | 不适用 |
| 网络连接 | - 活动连接 - 主动侦听连接 - ARP 表 - 防火墙规则 - 接口配置 - 代理设置 - VPN 设置 |
- 活动连接 - 主动侦听连接 - ARP 表 - 防火墙规则 - IP 列表 - 代理设置 |
| 流程 | 所有正在运行的进程的列表 | 所有正在运行的进程的列表 |
| 服务和计划任务 | -证书 - 配置文件 - 硬件信息 |
- CPU 详细信息 - 硬件信息 -作系统信息 |
| 系统安全信息 | - 可扩展固件接口 (EFI) 完整性信息 - 防火墙状态 - 恶意软件删除工具 (MRT) 信息 - 系统完整性保护 (SIP) 状态 |
不适用 |
| 用户和组 | - 登录历史记录 - Sudoers |
- 登录历史记录 - Sudoers |
在设备上运行Microsoft Defender防病毒扫描
作为调查或响应过程的一部分,你可以远程启动防病毒扫描,以帮助识别和修正可能存在于受攻击的设备上的恶意软件。
选择 “运行防病毒扫描”后,选择要运行的扫描类型 (快速或完整) 并在确认扫描之前添加注释。
作中心显示扫描信息,并且设备时间线包含一个新事件,以反映设备上已提交扫描作。 Microsoft Defender防病毒警报反映扫描期间出现的任何检测。
限制应用执行
除了通过停止恶意进程来遏制攻击之外,还可以锁定设备并阻止潜在恶意程序的后续尝试运行。
为了限制应用程序运行,将应用代码完整性策略,该策略仅允许文件在由Microsoft颁发的证书签名时运行。 这种限制方法有助于防止攻击者控制受攻击的设备并执行进一步的恶意活动。
在设备页面上选择“ 限制应用执行 ”后,键入注释并选择“ 确认”。 作中心显示扫描信息,设备时间线包含新事件。
设备用户的通知
限制应用时,将显示以下通知,通知用户应用被限制运行:
将设备从网络隔中离出来
根据攻击的严重性和设备的敏感度,你可能希望将设备与网络隔离。 此作可帮助防止攻击者控制受攻击的设备并执行其他活动,例如数据外泄和横向移动。
需要记住的要点:
iptablesip6tablesCONFID_IP_NF_IPTABLESCONFIG_NETFILTERCONFIG_IP_NF_MATCH_OWNERActive remediation actionsiptable设备隔离功能在保持与 Defender for Endpoint 服务的连接的同时断开受攻击设备与网络的连接,后者会继续监视设备。 在 Windows 10 版本 1709 或更高版本上,可以使用选择性隔离来更好地控制网络隔离级别。 还可以选择启用 Outlook 和 Microsoft Teams 连接。
在设备页面上选择“ 隔离设备 ”后,键入注释并选择“ 确认”。 作中心显示扫描信息,设备时间线包含新事件。
从隔离中强制释放设备
设备隔离功能是保护设备免受外部威胁的宝贵工具。 但是,在某些情况下,隔离设备变得无响应。
这些实例有一个可下载的脚本,你可以运行该脚本来强制从隔离中释放设备。 该脚本可通过 UI 中的链接获得。
若要从隔离中强制释放设备,请执行以下作:
在设备页上,选择“ 下载脚本”以强制从作菜单中分离设备 。
在右侧窗格中,选择“ 下载脚本”。
强制设备发布的最低要求
若要从隔离中强制释放设备,设备必须运行 Windows。 支持以下版本:
- 使用 KB KB5023773 Windows 10 21H2 和 22H2。
- Windows 11版本 21H2,即具有KB5023774的所有版本。
- Windows 11版本 22H2,即具有KB5023778的所有版本。
设备用户的通知
当设备被隔离时,将显示以下通知,通知用户设备正在与网络隔离:
包含来自网络的设备
识别出已遭到入侵或可能遭到入侵的非托管设备时,你可能希望包含来自网络的该设备,以防止潜在的攻击在网络中横向移动。 当你包含设备时,任何Microsoft Defender for Endpoint载入的设备将阻止与该设备的传入和传出通信。 当安全运营分析员查找、识别和修正受攻击设备上的威胁时,此作可帮助防止相邻设备受到威胁。
包含设备后,我们建议尽快调查并修正所包含设备上的威胁。 修正后,应从包含中删除设备。
如何包含设备
转到 “设备清单 ”页,然后选择要包含的设备。
从 设备 浮出控件的“作”菜单中选择“包含设备”。
在“包含设备”弹出窗口中,键入批注,然后选择“ 确认”。
包含设备页中的设备
还可以通过从作栏中选择“包含设备”,从设备页面 包含设备 :
包含设备后,如果行为不符合预期,请验证是否已在载入 Defender for Endpoint 的设备上启用基本筛选引擎 (BFE) 服务。
停止包含设备
可以随时停止包含设备。
从“ 设备清单 ”中选择设备,或打开“设备”页。
从作菜单中选择“ 从包含中释放 ”。 此作将还原设备与网络的连接。
包含未发现设备的 IP 地址
Defender for Endpoint 还可以包含与未发现或未加入 Defender for Endpoint 的设备关联的 IP 地址。 包含 IP 地址的功能可防止攻击者将攻击传播到其他未受攻击的设备。 包含 IP 地址会导致 Defender for Endpoint 载入设备阻止使用包含的 IP 地址与设备的传入和传出通信
包含与未发现的设备或未加入 Defender for Endpoint 的设备关联的 IP 地址通过 自动攻击中断自动完成。 当 Defender for Endpoint 检测到要与未发现的设备或未加入的设备关联的 IP 地址时,“包含 IP”策略会自动阻止恶意 IP 地址。
在适用的事件、设备或 IP 页上会显示一条消息,指示已应用作。 下面是一个示例。
包含 IP 地址后,可以在作中心的“历史记录”视图中查看作。 可以查看作的发生时间,并确定包含的 IP 地址。
如果包含的 IP 地址是事件的一部分,则事件图以及事件的证据和响应选项卡上会显示一个指示器。下面是一个示例。
可以随时停止 IP 地址的包含。 若要停止包含,请在作中心中选择“包含 IP”作。 在浮出控件中,选择“ 撤消”。 此作将还原 IP 地址与网络的连接。
包含关键资产
当关键资产遭到入侵并用于在组织内传播威胁时,阻止传播可能具有挑战性,因为这些资产必须继续运行以避免生产力损失。 Defender for Endpoint 通过精细地包含关键资产来解决此问题,防止攻击蔓延,同时确保资产保持正常运行以确保业务连续性。
通过自动攻击中断,Defender for Endpoint 会识别恶意设备,识别设备的角色,以应用匹配策略来自动包含关键资产。 通过仅阻止特定端口和通信方向来实现精细遏制。
可以通过设备或 IP 页上的关键资产标记来标识 关键资产 。 设备包含当前支持关键资产类型,例如域控制器、DNS 服务器和 DHCP 服务器。
包含来自网络的用户
当网络中某个标识可能遭到入侵时,必须阻止该标识访问网络和不同的终结点。 Defender for Endpoint 可以包含标识,阻止其访问,并帮助防止攻击,特别是勒索软件。 包含标识后,任何受支持的Microsoft Defender for Endpoint载入设备都将阻止与攻击相关的特定协议中的传入流量, (拒绝网络登录、RPC、SMB、RDP) 、终止正在进行的远程会话和注销现有 RDP 连接, (终止会话本身,包括其所有相关进程) ,同时启用合法流量。 此作可显著帮助减少攻击的影响。 包含标识后,安全运营分析师将有额外的时间来查找、识别和修正对已泄露标识的威胁。 一旦受到自动攻击中断的影响,用户将在未来五天内自动从隔离中删除。
如何包含用户
目前,仅通过使用自动攻击中断自动提供包含用户。 当Microsoft检测到用户遭到入侵时,会自动设置“包含用户”策略。
查看包含用户作
包含用户后,可以在作中心的此历史记录视图中查看作。 在这里,可以查看作发生的时间,以及组织中包含的用户:
此外,在标识被视为“已包含”后,该用户将被 Defender for Endpoint 阻止,并且无法对任何受支持的 Defender for Endpoint 载入设备执行任何恶意横向移动或远程加密。 这些块将显示为警报,帮助你快速查看受攻击用户尝试访问的设备以及潜在的攻击技术:
撤消包含用户作
可以随时释放用户的块和包含:
在作中心中选择“包含用户”作。 在侧窗格中,选择“ 撤消”。
从用户清单、事件页面侧窗格或警报侧窗格中选择用户,然后选择 “撤消”。
此作将还原用户与网络的连接。
包含用户的调查功能
包含用户后,可以通过查看受攻击用户的阻止作来调查潜在威胁。 在设备时间线视图中,可以看到有关特定事件的信息,包括协议和接口粒度,以及关联的相关 MITRE 技术。
DeviceEvents
咨询威胁专家
可以咨询Microsoft威胁专家,了解有关可能遭到入侵或已泄露的设备的更多信息。 Microsoft 威胁专家可以直接从Microsoft Defender XDR进行参与,以便及时准确地做出响应。 专家不仅提供有关可能遭到入侵的设备的见解,还有助于更好地了解复杂的威胁、你获取的定向攻击通知,或者是否需要有关警报的详细信息,或者门户中仪表板看到的威胁情报上下文。
在操作中心检查活动详细信息
作中心 (https://security.microsoft.com/action-center) 提供有关在设备或文件上执行的作的信息。 你将能够查看以下详细信息:
- 调查包集合
- 防病毒扫描
- 应用限制
- 设备隔离
还会显示所有其他相关详细信息,例如提交日期/时间、提交用户以及作是否成功或失败。
