Partager via


Examen et réponse contre les menaces

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 sur le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Les fonctionnalités d’investigation et de réponse aux menaces de Microsoft Defender pour Office 365 aident les analystes et les administrateurs de la sécurité à protéger microsoft 365 pour les utilisateurs professionnels de leur organisation en :

  • Faciliter l’identification, la surveillance et la compréhension des cyberattaques.
  • Aide à traiter rapidement les menaces dans Exchange Online, SharePoint Online, OneDrive Entreprise et Microsoft Teams.
  • Fournir des insights et des connaissances pour aider les opérations de sécurité à empêcher les cyberattaques contre leur organisation.
  • Utilisation d’une investigation et d’une réponse automatisées dans Office 365 pour les menaces critiques basées sur les e-mails.

Les fonctionnalités d’investigation et de réponse aux menaces fournissent des insights sur les menaces et les actions de réponse associées disponibles dans le portail Microsoft Defender. Ces insights peuvent aider l’équipe de sécurité de votre organisation à protéger les utilisateurs contre les attaques par e-mail ou par fichier. Les fonctionnalités permettent de surveiller les signaux et de collecter des données à partir de plusieurs sources, telles que l’activité des utilisateurs, l’authentification, les e-mails, les PC compromis et les incidents de sécurité. Les décideurs métier et votre équipe des opérations de sécurité peuvent utiliser ces informations pour comprendre et répondre aux menaces contre votre organisation et protéger votre propriété intellectuelle.

Se familiariser avec les outils d’investigation et de réponse aux menaces

Les fonctionnalités d’investigation et de réponse aux menaces dans le portail Microsoft Defender à l’adresse https://security.microsoft.com sont un ensemble d’outils et de flux de travail de réponse qui incluent :

Explorer

Utilisez l’Explorateur (et les détections en temps réel) pour analyser les menaces, voir le volume d’attaques au fil du temps et analyser les données par familles de menaces, infrastructure des attaquants, etc. L’Explorateur (également appelé Explorateur de menaces) est le point de départ du flux de travail d’investigation d’un analyste de sécurité.

Page Explorateur de menaces

Pour afficher et utiliser ce rapport dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à e-mail & l’Explorateur collaboration>. Ou, pour accéder directement à la page Explorateur , utilisez https://security.microsoft.com/threatexplorer.

Connexion à Office 365 Threat Intelligence

Cette fonctionnalité n’est disponible que si vous disposez d’un abonnement Office 365 E5 ou G5 ou Microsoft 365 E5 ou G5 actif ou du module complémentaire Threat Intelligence. Pour plus d’informations, consultez la page du produit Office 365 Entreprise E5.

Les données de Microsoft Defender pour Office 365 sont incorporées dans Microsoft Defender XDR pour effectuer une enquête de sécurité complète sur les boîtes aux lettres Office 365 et les appareils Windows.

Incidents

Utilisez la liste Incidents (également appelée Investigations) pour afficher la liste des incidents de sécurité en vol. Les incidents sont utilisés pour suivre les menaces telles que les messages électroniques suspects, et pour mener une investigation et une correction plus approfondies.

Liste des incidents liés aux menaces actuels dans Office 365

Pour afficher la liste des incidents actuels pour votre organisation dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Incidents & alertes>Incidents. Ou, pour accéder directement à la page Incidents , utilisez https://security.microsoft.com/incidents.

Formation à la simulation d'attaque

Utilisez la formation sur la simulation d’attaque pour configurer et exécuter des cyberattaques réalistes dans votre organisation, et identifier les personnes vulnérables avant qu’une cyberattaque réelle n’affecte votre entreprise. Pour plus d’informations, consultez Simuler une attaque par hameçonnage.

Pour afficher et utiliser cette fonctionnalité dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Formation par e-mail & collaboration>sur la simulation d’attaque. Ou, pour accéder directement à la page de formation sur la simulation d’attaque , utilisez https://security.microsoft.com/attacksimulator?viewid=overview.

Enquêtes et réponses automatisées

Utilisez les fonctionnalités d’investigation et de réponse automatisées (AIR) pour gagner du temps et des efforts pour mettre en corrélation le contenu, les appareils et les personnes exposées à des menaces au sein de votre organisation. Les processus AIR peuvent commencer chaque fois que certaines alertes sont déclenchées ou lorsqu’elles sont démarrées par votre équipe des opérations de sécurité. Pour plus d’informations, voir Investigation et réponse automatisées dans Office 365.

Widgets de renseignement sur les menaces

Dans le cadre de l’offre Microsoft Defender pour Office 365 Plan 2, les analystes de sécurité peuvent consulter les détails d’une menace connue. Cela est utile pour déterminer s’il existe des mesures ou des étapes préventives supplémentaires qui peuvent être prises pour assurer la sécurité des utilisateurs.

Volet Tendances de la sécurité affichant des informations sur les menaces récentes

Comment obtenir ces fonctionnalités ?

Les fonctionnalités d’investigation et de réponse aux menaces Microsoft 365 sont incluses dans Microsoft Defender pour Office 365 Plan 2, qui est inclus dans Enterprise E5 ou en tant que module complémentaire pour certains abonnements. Pour plus d’informations, voir Aide-mémoire defender pour Office 365 Plan 1 et Plan 2.

Rôles et des autorisations requis

Microsoft Defender pour Office 365 utilise le contrôle d’accès en fonction du rôle. Les autorisations sont attribuées via certains rôles dans l’ID Microsoft Entra, le Centre d’administration Microsoft 365 ou le portail Microsoft Defender.

Conseil

Bien que certains rôles, tels que Administrateur de la sécurité, puissent être attribués dans le portail Microsoft Defender, envisagez d’utiliser le Centre d’administration Microsoft 365 ou l’ID Microsoft Entra à la place. Pour plus d’informations sur les rôles, les groupes de rôles et les autorisations, consultez les ressources suivantes :

Activité Rôles et autorisations
Utiliser le tableau de bord Gestion des vulnérabilités Microsoft Defender

Afficher des informations sur les menaces récentes ou actuelles
Un des éléments suivants :
  • Administrateur général*
  • Administrateur de la sécurité
  • Lecteur de sécurité

Ces rôles peuvent être attribués dans l’ID Microsoft Entra (https://portal.azure.com) ou dans le Centre d’administration Microsoft 365 (https://admin.microsoft.com).
Utiliser l’Explorateur (et les détections en temps réel) pour analyser les menaces Un des éléments suivants :
  • Administrateur général*
  • Administrateur de la sécurité
  • Lecteur de sécurité

Ces rôles peuvent être attribués dans l’ID Microsoft Entra (https://portal.azure.com) ou dans le Centre d’administration Microsoft 365 (https://admin.microsoft.com).
Afficher les incidents (également appelés enquêtes)

Ajouter des messages électroniques à un incident
Un des éléments suivants :
  • Administrateur général*
  • Administrateur de la sécurité
  • Lecteur de sécurité

Ces rôles peuvent être attribués dans l’ID Microsoft Entra (https://portal.azure.com) ou dans le Centre d’administration Microsoft 365 (https://admin.microsoft.com).
Déclencher des actions par e-mail dans un incident

Rechercher et supprimer des messages électroniques suspects
Un des éléments suivants :
  • Administrateur général*
  • Administrateur de la sécurité et rôle Rechercher et vider

Les rôles Administrateur* général et Administrateur de la sécurité peuvent être attribués dans l’ID Microsoft Entra (https://portal.azure.com) ou dans le Centre d’administration Microsoft 365 (https://admin.microsoft.com).

Le rôle Rechercher et vider doit être attribué dans les rôles De collaboration & e-mail dans le portail Microsoft 36 Defender (https://security.microsoft.com).
Intégrer Microsoft Defender pour Office 365 Plan 2 à Microsoft Defender pour point de terminaison

Intégrer Microsoft Defender pour Office 365 Plan 2 à un serveur SIEM
Le rôle Administrateur* général ou Administrateur de la sécurité attribué dans l’ID Microsoft Entra (https://portal.azure.com) ou le Centre d’administration Microsoft 365 (https://admin.microsoft.com).

--- plus ---

Un rôle approprié attribué dans d’autres applications (telles que Microsoft Defender Security Center ou votre serveur SIEM).

Importante

* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Étapes suivantes